Sicherheitslücke: Apple schreibt Filevault-Passwörter im Klartext auf Platte

Apple hat in die alte Version von Filevault zur Verschlüsselung persönlicher Daten in Mac OS X offenbar eine grobe Sicherheitslücke eingebaut, durch die das vom Nutzer verwendete Passwort im Klartext in einem unverschlüsselten Bereich auf der Festplatte landet.

Artikel veröffentlicht am ,
Debug-Log verrät Filevault-Passwörter.
Debug-Log verrät Filevault-Passwörter. (Bild: Apple)

Eigentlich soll die Funktion Filevault in Mac OS X die persönlichen Daten eines Nutzers durch Verschlüsselung vor unbefugtem Zugriff schützen, auch dann, wenn der Rechner in fremde Hände fällt. Mit der Veröffentlichung von Mac OS X 10.7 alias Lion hat Apple mit Filevault 2 eine neue Version dieser Verschlüsselung eingeführt, die in der Lage ist, die komplette Festplatte zu verschlüsseln. Die alte Version von Filevault wird weiterhin mitgeliefert und Nutzer, die Filevault schon zuvor genutzt haben, werden nicht automatisch auf die neue Version umgestellt.

Dem Sicherheitsforscher David Emery zufolge hat jemand bei Apple bei der aktuellen Version Mac OS X 10.7.3, die am 1. Februar 2012 veröffentlicht wurde, einen Debug-Schalter (DEBUGLOG) aktiviert gelassen, was dazu führt, dass ein systemweites Logfile im Klartext geschrieben wird, das für jeden Nutzer mit Root- oder Adminzugriff lesbar ist. Es enthält auch das Login-Passwort eines Nutzers eines verschlüsselten Verzeichnisbaums, wie ihn das alte Filevault nutzt.

Standardmäßig bleibt das Logfile für mehrere Wochen erhalten.

Das Logfile kann auch ausgelesen werden, wenn der Rechner von einer externen Firewire-Festplatte gebootet wird, so dass ein Angreifer, der physischen Zugriff auf ein System hat, kein Passwort benötigt.

Zudem betrifft die Sicherheitslücke auch Backups, die mit Apples Time Machine angelegt werden, denn dabei werden neben den verschlüsselten Containern auch die Logfiles gespeichert, die das Passwort im Klartext enthalten.

Abhilfe schafft laut Emery die Verschlüsselung der gesamten Festplatte mit Filevault 2. Zudem kann ein Firmware-Passwort gesetzt werden, ohne das nicht von einer externen Platte gebootet werden kann. Emery weist aber darauf hin, dass es dafür eine Umgehungsmethode gibt, die Apples Supportmitarbeiter nutzen.

Emil Protalinski weist in einem Blogeintrag bei ZDNet darauf hin, dass schon am 6. Februar ein Nutzer in Apples Supportforum auf den Fehler aufmerksam gemacht hat.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Diebstahlgefahr
Siri schaltet mobile Daten bei gesperrtem iPhone aus
msramdmp - Princeton-Hauptspeicher-Hack via USB-Stick nutzen
artikel-bild
Mac OS X 10.7.3
Lion-Update beseitigt Windows-Probleme und Sicherheitslücken
Meistgelesen
artikel-bild
Produktstart
Zweifel bei Apple über die kommende AR/VR-Brille
artikel-bild
5.000 Fahrzeuge pro Woche
Tesla steigert Giga-Berlin-Produktion und lockt mit Rabatten
artikel-bild
Ohne Ultraschall
Tesla führt Einparkhilfe Vision Park Assist mit Kameras ein
Kommentarübersicht
OS X 10.7.4 ist da. Filevault Fehler gefixt.
Der Supporter 09. Mai 2012

So, nun können alle wieder entspannen.

Fehler im Artikel
Der Supporter 07. Mai 2012

@Golem Die Aussage im Artikel: "Zudem betrifft die Sicherheitslücke auch Backups, die...

Um mal den Kreis der betroffenen einzugrenzen...
Der Supporter 07. Mai 2012

Alle Neu-Käufer von Macs mit vorinstalliertem Lion sind nicht betroffen. Wer also seinen...

Re: Unschön, betrifft aber nur bestimmte...
Der Supporter 07. Mai 2012

Nein, aber in den Foren wird über den Fehler berichtet und die Lösung beschrieben. Werden...

Aktuell auf der Startseite von Golem.de
GPT-4
"Funken von allgemeiner künstlicher Intelligenz"

Microsoft Research enthüllt eine umfangreiche Sammlung von Fallbeispielen, die mit dem ChatGPT-Nachfolger GPT-4 erzeugt wurden. Die Ergebnisse sind beeindruckend.
Eine Analyse von Helmut Linde

GPT-4: Funken von allgemeiner künstlicher Intelligenz
Artikel
  1. Software im Auto: VW will Millionen bei Cariad einsparen
    Software im Auto
    VW will Millionen bei Cariad einsparen

    Auch Mercedes deckelt die Ausgaben für die Softwareentwicklung. Stattdessen setzen beide Konzerne auf externe Partner wie Google.

  2. Produktstart: Zweifel bei Apple über die kommende AR/VR-Brille
    Produktstart
    Zweifel bei Apple über die kommende AR/VR-Brille

    Apple-Mitarbeiter sollen Bedenken an der geplanten AR/VR-Brille geäußert haben, weil sie den Preis zu hoch und die Nützlichkeit zu gering finden.

  3. Smart-Home-Anwendung: MQTT unter Java nutzen
    Smart-Home-Anwendung
    MQTT unter Java nutzen

    Wer Daten von Sensoren oder ähnlichen Quellen von A nach B senden möchte, kann das Protokoll MQTT verwenden, dank entsprechender Bibliotheken auch einfach unter Java.
    Eine Anleitung von Florian Bottke

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Radeon 7900 XTX 24 GB günstig wie nie • Kingston Fury 16 GB Kit DDR4-3600 43,90€ • MindStar: AMD Ryzen 7 5800X3D 309€ • Nur noch heute: Cyberport Jubiläums-Deals • 3 Spiele kaufen, 2 zahlen • MediaMarkt-Osterangebote • Alternate: Corsair Vengeance 32 GB DDR-6000 116,89€ • MSI Optix 30" 200 Hz 289€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /