Бразилски разработчик е открил сериозна уязвимост при macOS High Sierra, която показва паролите при новата Apple File System (APFS).
Една от най-големите новости, с които от Apple рекламираха High Sierra, беше новата файлова система Apple File System (APFS), която е с подобрена ефикасност и по-добро криптиране.
Точно по отношение на криптирането обаче изглежда, че APFS има голям проблем и излага всичките си потребители на голям риск.
Бразилският разработчик Matheus Mariano е открил сериозна уязвимост при APFS, с която могат да се разкрият паролите при криптираните дялове в разбираем вид, без нуждата от декриптиране.
В блог пост той обяснява, че проблемът е толкова очевиден, че не разбира как от Apple или някой друг не са го забелязали досега. Просто трябва да натиснете „show password hint“ в Disk Utility и паролите биват разкрити в абсолютно разбираем и четим вид. Те биват показвани на мястото на подсказката за паролата.
От Sophos също коментират тази уязвимост и я определят като „facepalming“. От компанията казват още, че това е лош знак от Apple и не е ясно въобще как са си позволили да пуснат нещо подобно като завършен продукт.
Немският софтуерен разработчик Felix Schwarz също сподели видео в Twitter, като лесно е успял да се възпроизведе от уязвимостта.
Tried myself & it’s true: #HighSierra shows the #APFS volume password as hint. Persists reboots, not stored in keychain. Wow. Just wow. pic.twitter.com/FkcHI9KHl9
— Felix Schwarz (@felix_schwarz) October 5, 2017
Schwarz отбелязва, че потребителите, които не са използвали подсказка за паролата или Disk Utility, най-вероятно не са засегнати.
Потребителите, които вече са инсталирали последната версия на macOS High Sierra 10.13, също са защитени, защото от Apple на бърза ръка изкараха кръпка в сряда, а също така и инструкции, в които е обяснено как потребителите да направят резервно копие, да изтрият и възстановят криптиран APFS при ъпдейта.
Това не е първият проблем при macOS High Sierra 10.13 от това естество. Миналия месец бивш служител на АНС разкри друга уязвимост, която позволяваше извличането на паролите в разбираем вид от Keychain.
