Screenshot: Matheus Mariano

MacOS: Sicherheitslücke verriet Passwort für Disk-Verschlüsselung

6. Oktober 2017, 08:53

Hinweisfunktion lieferte Passwort im Klartext – Apple reagiert mit flottem Update

Wer eine externe Festplatte verschlüsselt, will damit eigentlich sicherstellen, dass die darauf gespeicherten Daten für Dritte nicht erreichbar sind. Ein Fehler im aktuellen macOS High Sierra machte es Dritten aber nun verblüffend leicht an das dafür genutzte Passwort zu kommen.

Fehlerhaft

Wie der Softwareentwickler Matheus Mariano entdeckt hat, hat die neueste Generation von Apples Betriebssystem nämlich eine allzu hilfreiche "Password Hint"-Funktion. Zeigt diese doch bei neu angelegten, verschlüsselten Containern kurzerhand nicht den von den Usern ersonnenen Hinweis sondern gleich das eigentliche Passwort an.

Klartext

Wer physischen Zugriff auf den Rechner hat, bekommt insofern auf recht einfache Art das Passwort des betroffenen Users mitgeliefert. Da wohl viele hier das gleiche Passwort immer wieder für unterschiedliche externe Datenträger nutzen, könnten sie dann auch problemlos Zugriff auf diese Daten bekommen. Übrigens heißt dies natürlich auch, dass das betreffende Passwort im Klartext von macOS abgespeichert wurde, sonst könnte es an dieser Stelle nicht angezeigt werden.

APFS

Der Fehler tritt nur beim Anlegen von neuen verschlüsselten Containern auf SSDs mit Apples neuem Dateisystem APFS auf. Trotzdem fragt sich Mariano, wie ein solch fataler – und offensichtlicher – Fehler der Qualitätssicherung von Apple entgehen konnte.

Zumindest hat Apple recht flott auf die Fehlermeldung reagiert. Der Bug wurde mittlerweile mit einem "Supplemental Update" für macOS 10.13 bereinigt. Insofern empfiehlt sich allen Nutzern von Apples Betriebssystem ein baldiger Besuch der Softwareaktualisierung. (red, 6.10.2017)