Externe Datenträger: Apple loggt APFS-Passwort im Klartext mit

Wer externe Datenträger mit APFS nutzt und diese verschlüsselt, dessen Passwort wird in einigen MacOS-Versionen im Klartext mitgeloggt. Der Fehler ist bislang nur teilweise behoben worden.

Artikel veröffentlicht am ,
Das Passwort für APFS-Volumes wird im Klartext mitgeloggt.
Das Passwort für APFS-Volumes wird im Klartext mitgeloggt. (Bild: Amada44/Wikimedia Commons/CC-BY-SA 4.0)

Wer externe Datenträger mit Apples Dateisystem APFS (Apple Filesystem) nutzt und diese verschlüsselt, dessen Passwort wird in einigen Versionen von MacOS im Klartext mitgeloggt, wie die Forensik-Expertin Sarah Edwards schreibt. Der Fehler ist von Apple mit der aktuellen Version 10.13.3 bei der Einrichtung neuer Volumes behoben worden, verwundbar waren offenbar Nutzer der Versionen 10.13.1 und 10.13.2. Auch die Version 10.13.2 ist mittlerweile gegen Angriffe abgesichert.

Stellenmarkt
  1. Anwendungsentwickler / Developer (m/w/d)
    Drafz Consulting GmbH, Karlsruhe
  2. Java-Entwickler (m/w/d)
    BWS Consulting Group GmbH, Wolfsburg, Hannover, Dortmund
Detailsuche

Es ist nicht der erste Fehler dieser Art in Apples aktuellem Release von MacOS. So gab das Betriebssystem im vergangenen Jahr statt eines Passworthinweises für verschlüsselte Volumes das Passwort selbst aus, außerdem ermöglichte MacOS High Sierra das Login als Administrator ohne Passwort. Apple hatte sich für die Fehler entschuldigt und will bei den kommenden Versionen der Betriebssysteme stärker auf Qualität achten und dafür weniger neue Funktionen einbauen.

Die Finderin des Fehlers, Sarah Edwards, bezeichnet das Problem in ihrem Blogpost als "sehr nützlich aus forensischer Sicht, aber totalen Horror aus Sicherheitsperspektive". Tatsächlich ist der Fehler peinlich, dürfte aber relativ wenig Nutzer betreffen. Denn wer ein externes APFS Volume mit Bordmitteln verschlüsseln will, muss in der Konsole hinter dem Befehl newfs_apfs den Parameter -S setzen. Dieser ist in der Man-Page nicht dokumentiert, wird nach Angaben von Edwards aber ausgegeben, wenn der Befehl ohne Parameter ausgeführt wird.

Apples Problemlösung scheint nicht ganz vollständig zu sein. Nach Angaben von Edwards tritt der Fehler noch auf, wenn Nutzer ein bereits vorhandenes Volume verschlüsseln. In unserem Test von MacOS hatten wir bemängelt, dass APFS merkwürdig unfertig wirkt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
James Webb Space Telescope
Das Weltraumteleskop wird mit Javascript betrieben

Die in der Raumfahrt verwendete Software ist manchmal kurios. Im Fall des JWST wird das ISIM mit Javascript kontrolliert und betrieben.

James Webb Space Telescope: Das Weltraumteleskop wird mit Javascript betrieben
Artikel
  1. Betrug: Wenn die Phishing-Mail wirklich von Paypal kommt
    Betrug
    Wenn die Phishing-Mail wirklich von Paypal kommt

    Die E-Mail stammt von Paypals Servern und weist auf eine unter Paypal.com einsehbare Transaktion hin. Doch hinter E-Mail und Hotline stecken Betrüger.

  2. ADAC-Test: Elektroautos als Zugmaschinen - was bringt's?
    ADAC-Test
    Elektroautos als Zugmaschinen - was bringt's?

    Der ADAC hat den Stromverbrauch von Elektroautos mit Anhängern und Fahrradgepäckträgern gemessen. Gute Noten gibt es dabei keine.

  3. Botnetz: Google blockiert Rekord-DDoS-Angriff
    Botnetz
    Google blockiert Rekord-DDoS-Angriff

    Für einen Kunden konnte Google den größten HTTPS-basierten DDoS-Angriff mit 46 Millionen Anfragen pro Sekunde abwehren.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (MSI RTX 3090 Gaming 1.269€, Seagate Festplatte ext. 18 TB 295€) • PS5-Deals (Uncharted Legacy of Thieves 15,38€, Horzizon FW 39,99€) • HP HyperX Gaming-Maus -51% • Alternate (Kingston Fury DDR5-6000 32GB 219,90€ statt 246€) • Samsung Galaxy S22+ 5G 128 GB 839,99€ [Werbung]
    •  /