Sicherheitslücke Apple schreibt Filevault-Passwörter im Klartext auf Platte

Apple hat in die alte Version von Filevault zur Verschlüsselung persönlicher Daten in Mac OS X offenbar eine grobe Sicherheitslücke eingebaut, durch die das vom Nutzer verwendete Passwort im Klartext in einem unverschlüsselten Bereich auf der Festplatte landet.

Anzeige

Eigentlich soll die Funktion Filevault in Mac OS X die persönlichen Daten eines Nutzers durch Verschlüsselung vor unbefugtem Zugriff schützen, auch dann, wenn der Rechner in fremde Hände fällt. Mit der Veröffentlichung von Mac OS X 10.7 alias Lion hat Apple mit Filevault 2 eine neue Version dieser Verschlüsselung eingeführt, die in der Lage ist, die komplette Festplatte zu verschlüsseln. Die alte Version von Filevault wird weiterhin mitgeliefert und Nutzer, die Filevault schon zuvor genutzt haben, werden nicht automatisch auf die neue Version umgestellt.

Dem Sicherheitsforscher David Emery zufolge hat jemand bei Apple bei der aktuellen Version Mac OS X 10.7.3, die am 1. Februar 2012 veröffentlicht wurde, einen Debug-Schalter (DEBUGLOG) aktiviert gelassen, was dazu führt, dass ein systemweites Logfile im Klartext geschrieben wird, das für jeden Nutzer mit Root- oder Adminzugriff lesbar ist. Es enthält auch das Login-Passwort eines Nutzers eines verschlüsselten Verzeichnisbaums, wie ihn das alte Filevault nutzt.

Standardmäßig bleibt das Logfile für mehrere Wochen erhalten.

Das Logfile kann auch ausgelesen werden, wenn der Rechner von einer externen Firewire-Festplatte gebootet wird, so dass ein Angreifer, der physischen Zugriff auf ein System hat, kein Passwort benötigt.

Zudem betrifft die Sicherheitslücke auch Backups, die mit Apples Time Machine angelegt werden, denn dabei werden neben den verschlüsselten Containern auch die Logfiles gespeichert, die das Passwort im Klartext enthalten.

Abhilfe schafft laut Emery die Verschlüsselung der gesamten Festplatte mit Filevault 2. Zudem kann ein Firmware-Passwort gesetzt werden, ohne das nicht von einer externen Platte gebootet werden kann. Emery weist aber darauf hin, dass es dafür eine Umgehungsmethode gibt, die Apples Supportmitarbeiter nutzen.

Emil Protalinski weist in einem Blogeintrag bei ZDNet darauf hin, dass schon am 6. Februar ein Nutzer in Apples Supportforum auf den Fehler aufmerksam gemacht hat.

Kommentarübersicht
OS X 10.7.4 ist da. Filevault Fehler gefixt.
Der Supporter 09. Mai 2012

So, nun können alle wieder entspannen.

Fehler im Artikel
Der Supporter 07. Mai 2012

@Golem Die Aussage im Artikel: "Zudem betrifft die Sicherheitslücke auch Backups, die...

Um mal den Kreis der betroffenen einzugrenzen...
Der Supporter 07. Mai 2012

Alle Neu-Käufer von Macs mit vorinstalliertem Lion sind nicht betroffen. Wer also seinen...

Re: Unschön, betrifft aber nur bestimmte...
Der Supporter 07. Mai 2012

Nein, aber in den Foren wird über den Fehler berichtet und die Lösung beschrieben. Werden...

Apple beweist mal wieder Weitsicht!
Konfuzius Peng 07. Mai 2012

Im Gegensatz zu den ganzen Windoof Nutzern können die Appel Designfetischisten ihre...

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. Wissenschaftliche Mitarbeiterin / wissenschaftlicher Mitarbeiter "Bildgestützte Echtzeitsysteme"
    Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB, Karlsruhe
  2. Lead-Softwareentwickler(in)
    HELBAKO GmbH, Heiligenhaus
  3. Senior SAP CRM Consultant (m/w)
    NEO Business Partners GmbH, deutschlandweit (Home-Office möglich)
  4. Datenbankadministrator Konzerncontrolling (m/w)
    KSB Aktiengesellschaft, Frankenthal

 

Detailsuche

Folgen Sie uns
       
Videos
Nokia Lumia 925 - Trailer Nokia Lumia 925 - Trailer
Ticker
  1. Android

    Updates für Google Drive und Chrome

  2. KDE Plasma Workspaces

    4.11 wird letzte Version vor Qt5-Wechsel

  3. Chrome

    Google spricht und hört zu

  4. Logitech

    iPad-Tastatur mit Kabel

  5. Filesharing

    Schweiz will Internetsperren auf das Urheberrecht ausweiten

  6. Oslic und Oscad

    Ratgeber für freie Lizenzen

  7. Datenschutz-Grundverordnung

    Chaos Computer Club fürchtet Datenschutzauflösung durch EU

  8. 3M

    Quantenpunkte sollen LCDs farbiger machen

  9. Solar Impulse

    Solarflugzeug fliegt nach Dallas

  10. Telekom

    Bundestagspetition gegen Drosselung gestartet

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Kickstarter
Heavy Gear Assault: Mech-Action auf Basis der Unreal Engine 4
Heavy Gear Assault
Mech-Action auf Basis der Unreal Engine 4

Schon länger arbeitet das Entwicklerstudio Stompy Bot an einer Neuauflage von Heavy Gear als Computerspiel. Jetzt kann die Community das Projekt unterstützen: Via Kickstarter sollen mindestens 800.000 US-Dollar zusammenkommen.

  1. Energy Hook 1-Dollar-Kampagne auf Kickstarter erfolgreich
  2. Keyprop Schlüsselbund stützt Smartphone beim Filmegucken
  3. Son of Nor Indie-Abenteuer im Sand
Web Components
Web Components: HTML-Elemente selber bauen
Web Components
HTML-Elemente selber bauen

Mit Web Components, die derzeit vom W3C standardisiert werden, kann sich jeder seine eigenen HTML-Elemente bauen - samt Aussehen und Logik - und sie wie Standardelemente in HTML-Dokumenten nutzen. Mit Googles neuer Bibliothek Polymer funktioniert das auch in den heute verfügbaren Browsern.

  1. Chrome 26 Beta Verbesserte Rechtschreibkorrektur und Template-Unterstützung
Cyberwar
Tallinn-Manual: Regierung äußert sich zu Nato-Regeln zum Töten von Hackern
Tallinn-Manual
Regierung äußert sich zu Nato-Regeln zum Töten von Hackern

Das Tallinn-Manual der Nato, das im Cyberwar das Töten von Hackern erlaubt, beschäftigt jetzt auch die Bundesregierung. "Es obliegt nicht der Bundesregierung, eine breite gesellschaftliche Debatte über die Regeln zu führen", heißt es trocken.

  1. Cyberwar Experten halten Stuxnet-Einsatz für Gewaltanwendung
  2. Cyberwar BND errichtet Abteilung zur Abwehr von Hackerangriffen
  3. Cyber Defense Nato-Papier gibt Hacker zum Abschuss frei
Forumsbeiträge »
  1. Android Updates für Google Drive und Chrome

    Update bei laufender Applikation

    Flasher | 09:15

  2. Logitech iPad-Tastatur mit Kabel

    Neue Erfindung

    Rainer Tsuphal | 09:14

  3. Superkondensator Neuer Energiespeicher mit kurzer Ladezeit

    Re: Versteh nicht

    kayozz | 09:13

  4. 3M Quantenpunkte sollen LCDs farbiger machen

    Re: Farbraum

    janpi3 | 09:12

  5. Steve Wilhite Ehrung für den Erfinder des "Jif"-Formates

    Re: JIF

    Lala Satalin... | 09:12

Ticker »
  1. Android Updates für Google Drive und Chrome

    09:05

  2. KDE Plasma Workspaces 4.11 wird letzte Version vor Qt5-Wechsel

    08:06

  3. Chrome Google spricht und hört zu

    08:00

  4. Logitech iPad-Tastatur mit Kabel

    07:55

  5. Filesharing Schweiz will Internetsperren auf das Urheberrecht ausweiten

    18:37

  6. Oslic und Oscad Ratgeber für freie Lizenzen

    18:08

  7. Datenschutz-Grundverordnung Chaos Computer Club fürchtet Datenschutzauflösung durch EU

    17:07

  8. 3M Quantenpunkte sollen LCDs farbiger machen

    16:29

Zum Artikel