Vul hieronder je gebruikernaam en wachtwoord in.

Let op met FileVault als je naar Lion bent gegaan via een upgrade (Upd.)

017

Een engineer bij Apple heeft waarschijnlijk een debug log aan laten staan in de laatste update van Lion (10.7.3). Iedereen die naar Lion is gegaan met een upgrade vanaf Snow Leopard en FileVault gebruikt loopt risico omdat het wachtwoord, de login dus, in clear text in een log staat buiten de versleutelde disk en dus makkelijk uit te lezen is.

Dit geldt niet alleen voor de opstartschijf, maar ook voor Time Machine back-ups van diezelfde schijf.

Citaat:

An Apple programmer, apparently by accident, left a debug flag in the most recent version of the Mac OS X operating system. In specific configurations, applying OS X Lion update 10.7.3 turns on a system-wide debug log file that contains the login passwords of every user who has logged in since the update was applied. The passwords are stored in clear text.

Anyone who used FileVault encryption on their Mac prior to Lion, upgraded to Lion, but kept the folders encrypted using the legacy version of FileVault is vulnerable. FileVault 2 (whole disk encryption) is unaffected.



Het meest verontrustende is waarschijnlijk dat dit al drie maanden geleden op Apple's eigen Support Communities te lezen was, maar dat Apple er tot nu toe nog niets aan gedaan heeft. Het is natuurlijk nog niet bekend of de 10.7.4 upgrade, die binnenkort verwacht wordt, hier iets aan doet.

De beste oplossing lijkt op dit moment dan ook om Lion op een schone schrijf te installeren (dus geen upgrade te doen) en dan de gebruikersgegevens daarnaar toe te migreren, want FileVault 2 heeft geen last van dit probleem. Een andere mogelijkheid is om op dezelfde schrijf een upgrade naar FileVault 2 te doen, maar let dan wel op dat jet het gebruikte wachtwoord aanpast, want dat is anders nog steeds terug te vinden.

Apple slaat natuurlijk wel een modderfiguur door dit zo lang zo te laten, zeker omdat ze ook zo lang niets deden aan het dichten van het lek in Java, wat resulteerde een de grootste aantal door een Trojan geïnfecteerde Macs uit de geschiedenis van het platform.

Update: Inmiddels is deze bug verholpen met het uitbrengen van de Lion 10.7.4 update, uiteindelijk dus lekker snel opgelost nadat het nieuws voor iedereen bekend werd.

Reacties

07 mei 2012 Een ware MacFreak!

Buiten de blunder van Apple : Hoeveel mensen zouden dat gebruiken?

Onderwerp verplaatst en tekst toegevoegd en aangepast.

@ Pb2k: Lijkt me nauwelijks relevant, FileVault is bedoelt om maximale veiligheid te bieden en moet dat dan ook doen.

En foutje kan gebeuren, maar drie maanden lang zonder correctie te laten is natuurlijk niet acceptabel voor iedereen die op zo'n beveiliging vertrouwt...

07 mei 2012 MacFreak Verslaafde

Het betreft ook alleen de admin-accounts van systemen met "FileVault 1" welke zijn geüpgraded naar Lion. Ik vraag me af of systemen welke van dermate belang zijn dat FileVault toegepast dient te worden überhaupt met admin-rechten gebruikt dienen te worden. Beheren met admin-rechten ligt voor de hand, maar het gebruik van die systemen zou wellicht beter kunnen met (restricted) user-accounts.

De betreffende sysadmin op het Apple Discussions forum kan zich volgens mij beter achter de oren krabben waarom
a) hij niet de beveiliging compleet uit kan zetten (het is immers alleen de user-directory i.t.t. de veiligere varianten);
b) hij niet heeft geüpgraded zonder beveiliging en daarna FileVault 2 heeft aangezet welke meer beveiligt;
c) er niet met user-accounts wordt gewerkt zodat alleen de admin zélf een beveiligde computer kan -beheren-;
d) bij dermate belangrijke, want beveiligde, opslagapparatuur niet met een firmware-password gewerkt wordt welke dit hele probleem voor is plus nog een aantal andere beveiligingsproblemen voorkomt:
https://support.apple.com/kb/HT1352.

Lijkt dus meer een kwestie van een sysadmin welke mijns inziens geen syadmin hoort te zijn gezien zijn inzicht in de materie (ongeacht de hoeveelheid kennis).

07 mei 2012 Een ware MacFreak!

Ik ga me er niet in verdiepen, maar de oplossing lijkt me uitermate simpel:
FV uitzetten, en dan FV weer aanzetten met een ander wachtwoord. Klaar toch?!

07 mei 2012 Een ware MacFreak!

Thanks voor de melding,

Heb even gekeken of ik het aan had staan of niet maar bij mij stond het dus gewoon uit, ik heb het ook nooit geactiveerd gehad dus volgens mij zit ik aan de goede kant.


07 mei 2012 MacFreak Veteraan


Citaat: Shmoo om 18:15, 7-05-2012
ik heb het ook nooit geactiveerd gehad dus volgens mij zit ik aan de goede kant.



Haha, je werkt helemaal zonder encryptie, dus dan maakt het niet uit aan welke kant je zit ten opzichte van encryptie waarvan je wachtwoord is te achterhalen

09 mei 2012 MacFreak Veteraan


Citaat: Flix om 17:40, 7-05-2012
Ik ga me er niet in verdiepen, maar de oplossing lijkt me uitermate simpel:
FV uitzetten, en dan FV weer aanzetten met een ander wachtwoord. Klaar toch?!



Niet helemaal. Ook je nieuwe wachtwoord komt in de log te staan. Enige oplossing is om af te stappen van Filevault 1 en Filevault 2 (encryptie van de hele harde schijf) te gaan gebruiken.
Zie voor details, http://cryptome.org/2012/05/apple-filevault-hole.htm

Inmiddels is dit probleem verholpen met de 10.7.4 update, we hebben dan ook even een update aan dit nieuwsbericht toegevoegd.

10 mei 2012 MacFreak Verslaafde

off topic vraagje: als je FV activeert is dit dan voor elke interne harde schijf op je mac?

10 mei 2012 Een ware MacFreak!

Even voor het juiste idee:

Citaat: Niet helemaal. Ook je nieuwe wachtwoord komt in de log te staan.


Aangezien je FV aanzet in Lion, zet je FV2 aan, waardoor het probleem dus over is (want idd: betreffende file staat dan binnen de FV beveiliging). Dus mijn verhaal klopt wel.

10 mei 2012 Een ware MacFreak!

Je verhaal klopt gedeeltelijk FLix, je moet wel afstappen van de Legacy Filevault 1 en naar V2 gaan ;)
(Nu kan het zijn dat automatisch gaat wanneer je het uit en aan zet in Lion, dan heb je volledig gelijk )

10 mei 2012 Een ware MacFreak!

Er valt inderdaad niks te kiezen: als je nu FV toepast, dan is het FV2, encryptie van de gehele HD. En dan zit die file dus binnen de encryptie...

10 mei 2012 Een ware MacFreak!

Aha, mooi. versie 2 is sowieso beter dan 1, hele disk is beter-

10 mei 2012 Een ware MacFreak!

Zou opgelost zijn met updaten nar 10.7.4:

http://www.engadget.com/2012/05/09/apple-drops-os-x-10-7-4/

@ Spooter: 6 berichtjes boven die van jou, en in een update van dit nieuwsbericht...

Reageer

Je moet ingelogd zijn om te kunnen reageren. Als je nog geen lid bent van MacFreak kan je je hier registreren.