macOS High Sierra操作系统的APFS文件系统暴露漏洞

TRex 漏洞 2018年4月4日发布

导语:安全专家在macOS High Sierra的APFS文件系统中发现了严重的安全漏洞,加密外部驱动器的密码以明文形式暴露。

取证分析师Sarah Edwards发现了macOS High Sierra操作系统的APFS文件系统漏洞。

根据Edwards的说法,该漏洞以纯文本形式暴露了加密外部驱动器的密码。

APFS(Apple File System,苹果文件系统)是macOS High Sierra及更高版本、iOS 10.3及更高版本、tvOS 10.2及更高版本、watchOS 3.2及更高版本的专有文件系统,由Apple Inc.开发和部署。APFS针对闪存固态驱动器存储,旨在提高加密和性能。

该漏洞在统一日志中以明文形式留下新创建的APFS卷的加密密码,还允许加密先前创建但未加密的卷。

Edwards在发表的博客文章中说,

我一直在使用新的APFS磁盘映像(APFS FTW!)更新我的课程(Mac和iOS取证和事件响应),在此过程中发现了一些问题,从取证的角度来看非常有用,但从安全的角度出发却非常可怕。下面是我的课程磁盘映像的屏幕截图。

起初它可能并不起眼(除了我已经添加的高亮部分),但是文本frogger13是我在新创建的带有卷名SEKRET的APFS格式的FileVault Encrypted USB驱动器上使用的密码。

这意味着任何有权访问机器的人都可以看到以明文形式存储的密码,专家们还警告说可以使用恶意软件收集日志文件以获取密码。

加密的APFS卷的密码可以通过在终端中运行以下newfs_apfs命令来获取:

log stream --info --predicate 'eventMessage contains "newfs_"'

Edwards更新了他的帖子,强调他已经在另一个更持久的系统日志中发现了类似的条目。他在这篇新的博客中写道,

在我之前更新过的博客中,我发现了另一个将纯文本密码写入系统日志的例子。这一次,我发现它在更持久的日志。这实际上比我之前报道的问题更糟糕。

以前的例子可以在统一日志中找到,它可以保存几周,这个新例子在系统的/var/log/install.log中存储了完全相同的信息。我发现install.log只会在重新安装时被清除(例如:10.11  – > 10.12  – > 10.13)。

Edwards指出,在Twitter用户@sirkkalap宣布无法重现他之前报告的问题后,他自己也无法重现。

Edwards说,

我认为在过去几天的某个时候,推出了静默的安全更新。我在install.log文件中做了进一步调查。就更新而言,唯一可能成为修复的原因是GateKeeper ConfigData更新v138(com.apple.pkg.GatekeeperConfigData.16U1432)。

专家强调说,在将非APFS驱动器转换为APFS并加密驱动器时,不会在明文中找到密码。

此漏洞只影响macOS 10.13和10.13.1,后来的macOS High Sierra版本据报道已经解决了这个问题。

在过去的几个月里,APFS发现了另外两个漏洞。2月苹果专家Mike Bombich发现了一个APFS文件系统漏洞,可导致macOS在特定条件下丢失数据。2017年10月,Apple发布了针对macOS High Sierra 10.13的补丁,该补丁解决了Apple文件系统中的一个漏洞,该漏洞在提示框中显示加密驱动器的密码。

本文翻译自:https://securityaffairs.co/wordpress/70904/breaking-news/apfs-flaws.html如若转载,请注明原文地址: http://www.4hou.com/vulnerable/10965.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论