Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

macOS 10.13 zeigt Passwort zu verschlüsseltem APFS-Volume als Merkhilfe

Neue Schwachstelle in High Sierra: Beim Anlegen eines zusätzlichen verschlüsselten APFS-Volumes speichert Apples Festplattendienstprogramm das eingegebene Passwort kurzerhand im Klartext als frei zugängliche "Merkhilfe".

In Pocket speichern vorlesen Druckansicht 18 Kommentare lesen
macOS 10.13 zeigt Passwort zu verschlüsseltem APFS-Volume als Merkhilfe

Die Merkhilfe zeigt kurzerhand das Passwort zum verschlüsselten APFS-Volume im Klartext.

Lesezeit: 2 Min.
Mac & i
Von

Beim Hinzufügen eines verschlüsselten APFS-Laufwerks patzt Apples Festplattendienstprogramm in macOS 10.13 High Sierra: Das vom Nutzer vergebene Passwort wird im Klartext in der frei zugänglichen Merkhilfe gespeichert, wie der Entwickler Matheus Mariano schon kurz nach der Veröffentlichung des Mac-Betriebssystemupdates bemerkte. Tippt man beim Mounten des verschlüsselten Laufwerkes in der Passwortabfrage die Merkhilfe an, wird das vollständige Passwort dort preisgegeben. Mariano hat den Fehler an Apple gemeldet.

Passwort wird statt der Merkhilfe angezeigt

Das Problem tritt auf, wenn ein zusätzliches APFS-Volume zu einem bestehenden Container hinzugefügt wird und falls der Nutzer das Merkhilfefeld wie von Apple empfohlen ausfüllt. Die eingegebene Merkhilfe wird dabei kurzerhand durch das Passwort überschrieben. Der Fehler betrifft sowohl das Anlegen verschlüsselter APFS-Volumes auf internen als auch externen Speichermedien.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Inhalt geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Wird das Volume mit diskutil statt dem Festplattendienstprogramm angelegt, wird nur wie vorgesehen die Merkhilfe gezeigt, erklärt der Entwickler Felix Schwarz – die Ursache für den Patzer sei deshalb wohl bei Apples Festplattendienstprogramm zu suchen und nicht im neuen Dateisystem APFS.

Workarounds zur Vermeidung der Passwortpreisgabe

Die ungewollte Preisgabe des Passwortes lasse sich verhindern, indem man das Feld für die Merkhilfe leer lässt oder zum Anlegen des Laufwerkes auf diskutil im Terminal zurückgreift statt auf das Festplattendienstprogramm. Entwicklerberichten zufolge ist die Schwachstelle auch in der ersten Beta von macOS 10.13.1 noch nicht beseitigt.

Apple hat in OS X 10.11 El Capitan damit begonnen, das Festplattendienstprogramm zu überarbeiten, in macOS 10.12 Sierra wurden mehrere Funktionen gestrichen. Seitdem mehren sich Berichten über Probleme und Fehler. In macOS 10.13 hat das Programm offenbar Schwierigkeiten, unformatierte Laufwerke zu erkennen – dies lässt sich nur durch einen Workaround umgehen.

[Update 6.10.2017 10:25 Uhr] Ein ergänzendes Update für High Sierra soll die Schwachstelle beseitigen.

Lesen Sie auch:

(lbe)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Forum bei heise online: Mac OS X

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten