导语:安全专家在macOS High Sierra的APFS文件系统中发现了严重的安全漏洞,加密外部驱动器的密码以明文形式暴露。
取证分析师Sarah Edwards发现了macOS High Sierra操作系统的APFS文件系统漏洞。
根据Edwards的说法,该漏洞以纯文本形式暴露了加密外部驱动器的密码。
APFS(Apple File System,苹果文件系统)是macOS High Sierra及更高版本、iOS 10.3及更高版本、tvOS 10.2及更高版本、watchOS 3.2及更高版本的专有文件系统,由Apple Inc.开发和部署。APFS针对闪存固态驱动器存储,旨在提高加密和性能。
该漏洞在统一日志中以明文形式留下新创建的APFS卷的加密密码,还允许加密先前创建但未加密的卷。
Edwards在发表的博客文章中说,
我一直在使用新的APFS磁盘映像(APFS FTW!)更新我的课程(Mac和iOS取证和事件响应),在此过程中发现了一些问题,从取证的角度来看非常有用,但从安全的角度出发却非常可怕。下面是我的课程磁盘映像的屏幕截图。
起初它可能并不起眼(除了我已经添加的高亮部分),但是文本frogger13是我在新创建的带有卷名SEKRET的APFS格式的FileVault Encrypted USB驱动器上使用的密码。
这意味着任何有权访问机器的人都可以看到以明文形式存储的密码,专家们还警告说可以使用恶意软件收集日志文件以获取密码。
加密的APFS卷的密码可以通过在终端中运行以下newfs_apfs命令来获取:
log stream --info --predicate 'eventMessage contains "newfs_"'
Edwards更新了他的帖子,强调他已经在另一个更持久的系统日志中发现了类似的条目。他在这篇新的博客中写道,
在我之前更新过的博客中,我发现了另一个将纯文本密码写入系统日志的例子。这一次,我发现它在更持久的日志。这实际上比我之前报道的问题更糟糕。
以前的例子可以在统一日志中找到,它可以保存几周,这个新例子在系统的/var/log/install.log中存储了完全相同的信息。我发现install.log只会在重新安装时被清除(例如:10.11 – > 10.12 – > 10.13)。
Edwards指出,在Twitter用户@sirkkalap宣布无法重现他之前报告的问题后,他自己也无法重现。
Edwards说,
我认为在过去几天的某个时候,推出了静默的安全更新。我在install.log文件中做了进一步调查。就更新而言,唯一可能成为修复的原因是GateKeeper ConfigData更新v138(com.apple.pkg.GatekeeperConfigData.16U1432)。
专家强调说,在将非APFS驱动器转换为APFS并加密驱动器时,不会在明文中找到密码。
此漏洞只影响macOS 10.13和10.13.1,后来的macOS High Sierra版本据报道已经解决了这个问题。
在过去的几个月里,APFS发现了另外两个漏洞。2月苹果专家Mike Bombich发现了一个APFS文件系统漏洞,可导致macOS在特定条件下丢失数据。2017年10月,Apple发布了针对macOS High Sierra 10.13的补丁,该补丁解决了Apple文件系统中的一个漏洞,该漏洞在提示框中显示加密驱动器的密码。