Abo
  • Services:

Externe Datenträger: Apple loggt APFS-Passwort im Klartext mit

Wer externe Datenträger mit APFS nutzt und diese verschlüsselt, dessen Passwort wird in einigen MacOS-Versionen im Klartext mitgeloggt. Der Fehler ist bislang nur teilweise behoben worden.

Artikel veröffentlicht am ,
Das Passwort für APFS-Volumes wird im Klartext mitgeloggt.
Das Passwort für APFS-Volumes wird im Klartext mitgeloggt. (Bild: Amada44/Wikimedia Commons/CC-BY-SA 4.0)

Wer externe Datenträger mit Apples Dateisystem APFS (Apple Filesystem) nutzt und diese verschlüsselt, dessen Passwort wird in einigen Versionen von MacOS im Klartext mitgeloggt, wie die Forensik-Expertin Sarah Edwards schreibt. Der Fehler ist von Apple mit der aktuellen Version 10.13.3 bei der Einrichtung neuer Volumes behoben worden, verwundbar waren offenbar Nutzer der Versionen 10.13.1 und 10.13.2. Auch die Version 10.13.2 ist mittlerweile gegen Angriffe abgesichert.

Stellenmarkt
  1. alanta health group GmbH, Hamburg
  2. Zentiva Pharma GmbH, Berlin

Es ist nicht der erste Fehler dieser Art in Apples aktuellem Release von MacOS. So gab das Betriebssystem im vergangenen Jahr statt eines Passworthinweises für verschlüsselte Volumes das Passwort selbst aus, außerdem ermöglichte MacOS High Sierra das Login als Administrator ohne Passwort. Apple hatte sich für die Fehler entschuldigt und will bei den kommenden Versionen der Betriebssysteme stärker auf Qualität achten und dafür weniger neue Funktionen einbauen.

Die Finderin des Fehlers, Sarah Edwards, bezeichnet das Problem in ihrem Blogpost als "sehr nützlich aus forensischer Sicht, aber totalen Horror aus Sicherheitsperspektive". Tatsächlich ist der Fehler peinlich, dürfte aber relativ wenig Nutzer betreffen. Denn wer ein externes APFS Volume mit Bordmitteln verschlüsseln will, muss in der Konsole hinter dem Befehl newfs_apfs den Parameter -S setzen. Dieser ist in der Man-Page nicht dokumentiert, wird nach Angaben von Edwards aber ausgegeben, wenn der Befehl ohne Parameter ausgeführt wird.

Apples Problemlösung scheint nicht ganz vollständig zu sein. Nach Angaben von Edwards tritt der Fehler noch auf, wenn Nutzer ein bereits vorhandenes Volume verschlüsseln. In unserem Test von MacOS hatten wir bemängelt, dass APFS merkwürdig unfertig wirkt.



Anzeige
Top-Angebote
  1. 99,00€
  2. (u. a. Outward 31,99€, Dirt Rally 2.0 Day One Edition 24,29€, Resident Evil 7 6,99€, Football...
  3. 319,90€ (Bestpreis!)

MarioWario 28. Mär 2018

Willkommen in Bugville 2.0 - ich würde eher zu Linux mit Systemd wechseln als jetzt einen...


Folgen Sie uns
       


Huawei P30 Pro - Hands on

Das P30 Pro ist Huaweis jüngstes Top-Smartphone, das erstmals mit einem Teleobjektiv mit Fünffachvergrößerung kommt. Im ersten Kurztest macht die Kamera mit neu entwickeltem Bildsensor einen guten Eindruck.

Huawei P30 Pro - Hands on Video aufrufen
Programmierer: Wenn der Urheber gegen das Urheberrecht verliert
Programmierer
Wenn der Urheber gegen das Urheberrecht verliert

Der nun offiziell beendete GPL-Streit zwischen Linux-Entwickler Christoph Hellwig und VMware zeigt eklatant, wie schwer sich moderne Software-Entwicklung im aktuellen Urheberrecht abbilden lässt. Immerhin wird klarer, wie derartige Klagen künftig gestaltet werden müssen.
Eine Analyse von Sebastian Grüner

  1. Urheberrecht Frag den Staat darf Glyphosat-Gutachten nicht publizieren
  2. Vor der Abstimmung Mehr als 100.000 Menschen demonstrieren gegen Uploadfilter
  3. Uploadfilter SPD setzt auf Streichung von Artikel 13

Passwort-Richtlinien: Schlechte Passwörter vermeiden
Passwort-Richtlinien
Schlechte Passwörter vermeiden

Groß- und Kleinbuchstaben, mindestens ein Sonderzeichen, aber nicht irgendeins? Viele Passwort-Richtlinien führen dazu, dass Nutzer genervt oder verwirrt sind, aber nicht unbedingt zu sichereren Passwörtern. Wir geben Tipps, wie Entwickler es besser machen können.
Von Hanno Böck

  1. Acutherm Mit Wärmebildkamera und Mikrofon das Passwort erraten
  2. Datenschutz Facebook speicherte Millionen Passwörter im Klartext
  3. Fido-Sticks im Test Endlich schlechte Passwörter

Verschlüsselung: Ärger für die PGP-Keyserver
Verschlüsselung
Ärger für die PGP-Keyserver

Die Schlüsselserver für PGP sind so ausgelegt, dass sie fast alles ungeprüft akzeptieren. Das führt zu zahlreichen Problemen, zuletzt wurden die Keyserver aufgrund von Angriffen mit vergifteten Schlüsseln immer unzuverlässiger.
Ein Bericht von Hanno Böck

  1. OpenPGP/GnuPG Signaturen fälschen mit HTML und Bildern
  2. GPG-Entwickler Sequoia-Projekt baut OpenPGP in Rust

    •  /