Kiedy zamiast podpowiedzi, dostajesz pełne hasło… Poważny błąd w macOS

Całkiem niedawno pisałem o luce odkrytej przez Patricka Werdle, byłego pracownika NSA, który poinformował, że aplikacje niepodpisane i pochodzące z nieautoryzowanych źródeł, są w stanie wykradać dane z pęku kluczy (KeyChain) w systemie macOS. Niestety okazuje się, że na jeszcze groźniejszy w skutkach błąd[1] natrafił Matheus Mariano – brazylijski programista.  

Przy tworzeniu w systemie macOS zaszyfrowanych wolumenów APFS (system plików), użytkownik poza hasłem, może podać wskazówkę do hasła w razie jego zapomnienia. Normalna praktyka stosowana przez różne systemy i aplikacje. To co jednak jest niespotykane, to fakt, że zamiast podpowiedzi, Brazylijczyk ujrzał swoje hasło…  

Źródło: https://twitter.com/martiano_/status/912733756020191232
Źródło: https://twitter.com/martiano_/status/912733756020191232

Odkrywca poinformował o tym fakcie firmę Apple, która wypuściła już stosowną aktualizację naprawiającą błąd. Podczas tworzenia zaszyfrowanego wolumenu z systemem plików APFS, system zapisuje hasło również w podpowiedzi i to czystym tekstem (plaintext). Poniższy materiał pokazuje dokładnie jak działa ta nieprawidłowość. 

Przypominam, że jedną z najważniejszych czynności, która chroni przed atakami, jest regularne aktualizowanie systemu i aplikacji. Oczywiście zawsze mogą zdarzyć się luki jak ta powyżej, ale tak oczywisty błąd nie zostałby długo w ukryciu. Pozostaje zainstalować poprawkę i liczyć na to, że więcej tak poważnych dla bezpieczeństwa błędów już nie ma. 

[1] https://threatpost.com/emergency-apple-patch-fixes-high-sierra-password-hint-leak/128314/