• IT-Karriere:
  • Services:

Sicherheitslücke: Apple schreibt Filevault-Passwörter im Klartext auf Platte

Apple hat in die alte Version von Filevault zur Verschlüsselung persönlicher Daten in Mac OS X offenbar eine grobe Sicherheitslücke eingebaut, durch die das vom Nutzer verwendete Passwort im Klartext in einem unverschlüsselten Bereich auf der Festplatte landet.

Artikel veröffentlicht am ,
Debug-Log verrät Filevault-Passwörter.
Debug-Log verrät Filevault-Passwörter. (Bild: Apple)

Eigentlich soll die Funktion Filevault in Mac OS X die persönlichen Daten eines Nutzers durch Verschlüsselung vor unbefugtem Zugriff schützen, auch dann, wenn der Rechner in fremde Hände fällt. Mit der Veröffentlichung von Mac OS X 10.7 alias Lion hat Apple mit Filevault 2 eine neue Version dieser Verschlüsselung eingeführt, die in der Lage ist, die komplette Festplatte zu verschlüsseln. Die alte Version von Filevault wird weiterhin mitgeliefert und Nutzer, die Filevault schon zuvor genutzt haben, werden nicht automatisch auf die neue Version umgestellt.

Stellenmarkt
  1. Wildeboer Bauteile GmbH, Weener
  2. IKOR AG, Essen (Home-Office möglich)

Dem Sicherheitsforscher David Emery zufolge hat jemand bei Apple bei der aktuellen Version Mac OS X 10.7.3, die am 1. Februar 2012 veröffentlicht wurde, einen Debug-Schalter (DEBUGLOG) aktiviert gelassen, was dazu führt, dass ein systemweites Logfile im Klartext geschrieben wird, das für jeden Nutzer mit Root- oder Adminzugriff lesbar ist. Es enthält auch das Login-Passwort eines Nutzers eines verschlüsselten Verzeichnisbaums, wie ihn das alte Filevault nutzt.

Standardmäßig bleibt das Logfile für mehrere Wochen erhalten.

Das Logfile kann auch ausgelesen werden, wenn der Rechner von einer externen Firewire-Festplatte gebootet wird, so dass ein Angreifer, der physischen Zugriff auf ein System hat, kein Passwort benötigt.

Zudem betrifft die Sicherheitslücke auch Backups, die mit Apples Time Machine angelegt werden, denn dabei werden neben den verschlüsselten Containern auch die Logfiles gespeichert, die das Passwort im Klartext enthalten.

Abhilfe schafft laut Emery die Verschlüsselung der gesamten Festplatte mit Filevault 2. Zudem kann ein Firmware-Passwort gesetzt werden, ohne das nicht von einer externen Platte gebootet werden kann. Emery weist aber darauf hin, dass es dafür eine Umgehungsmethode gibt, die Apples Supportmitarbeiter nutzen.

Emil Protalinski weist in einem Blogeintrag bei ZDNet darauf hin, dass schon am 6. Februar ein Nutzer in Apples Supportforum auf den Fehler aufmerksam gemacht hat.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

Der Supporter 09. Mai 2012

So, nun können alle wieder entspannen.

Der Supporter 07. Mai 2012

@Golem Die Aussage im Artikel: "Zudem betrifft die Sicherheitslücke auch Backups, die...

Der Supporter 07. Mai 2012

Alle Neu-Käufer von Macs mit vorinstalliertem Lion sind nicht betroffen. Wer also seinen...

Der Supporter 07. Mai 2012

Nein, aber in den Foren wird über den Fehler berichtet und die Lösung beschrieben. Werden...

Konfuzius Peng 07. Mai 2012

Im Gegensatz zu den ganzen Windoof Nutzern können die Appel Designfetischisten ihre...


Folgen Sie uns
       


VW ID.3 Probe gefahren

Wir sind einen Tag lang mit dem ID.3 in und um Berlin herum gefahren.

VW ID.3 Probe gefahren Video aufrufen
Star Wars und Star Trek: Was The Mandalorian besser macht als Discovery
Star Wars und Star Trek
Was The Mandalorian besser macht als Discovery

Unabhängig von der Story und davon, ob man Star Trek oder Star Wars lieber mag - nach den jüngsten Staffeln wird deutlich: Discovery kann handwerklich nicht mit The Mandalorian mithalten. Achtung, Spoiler!
Ein IMHO von Tobias Költzsch

  1. Lucasfilm Games Ubisoft entwickelt Open World mit Star Wars
  2. Krieg der Sterne Star Wars spielt unter dem Logo von Lucasfilm Games
  3. Star Wars chronologisch Über 150 Stunden Krieg der Sterne

Quereinsteiger: Mit dem Master in die IT
Quereinsteiger
Mit dem Master in die IT

Bachelorabsolventen von Fachhochschulen gehen überwiegend sofort in den Job. Einen Master machen sie später und dann gerne in IT. Studienangebote für Quereinsteiger gibt es immer mehr.
Ein Bericht von Peter Ilg

  1. IT-Arbeit Es geht auch ohne Chefs
  2. 42 Wolfsburg Programmieren lernen ohne Abi, Lehrer und Gebühren
  3. Betriebsräte in der Tech-Branche Freunde sein reicht manchmal nicht

CPU und GPU vereint: Wie die Fusion zu AMDs Zukunft wurde
CPU und GPU vereint
Wie die Fusion zu AMDs Zukunft wurde

Mit Lauchgemüse und Katzen-Kernen zu Playstation und Xbox: Wir blicken auf ein Jahrzehnt an Accelerated Processing Units (APUs) zurück.
Ein Bericht von Marc Sauter


      •  /