Egy macOS High Sierra bug plain text-ben felfedi a titkosított APFS kötetek jelszavát

 ( trey | 2018. március 29., csütörtök - 12:21 )

Részletek itt, technikai elemzés itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Mi a halálnak tárol egyáltalán reverzibilis jelszavakat?

A kep alapjan egy logfileba kerul be a hivas.

Hogy ne lehessen kiadni az FBI-nak.

/o\

Tipikus parasztvakítós Feature.

--
robyboy

Értem én hogy ez rohadt nagy hiba és valóban aki erre rábólintott azt bedobnám a kutyák elé de... 10.13.3-nál tartunk, ott meg már javítva vala:

"Edwards tested and found the bug affects only macOS 10.13 and 10.13.1, while later versions of macOS High Sierra (including the latest one) have somehow reportedly fixed this loophole."

hát én nem tudom tesztelni, mert nincs elkódolva a külső meghajtó. (ami lehet öreg hiba lol...)

--
GPLv3-as hozzászólás.

"UPDATE: This is still vulnerable on current versions of macOS 10.13.3 when encrypted an ALREADY EXISTING unencrypted APFS volume (versus, creating a NEW volume in original article)."
Forrás: https://www.mac4n6.com/blog/2018/3/21/uh-oh-unified-logs-in-high-sierra-1013-show-plaintext-password-for-apfs-encrypted-external-volumes-via-disk-utilityapp
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

UPDATE:

"In and update to my previously updated blog article, I have found another instance where the plaintext password was written to system logs. This time I found it in more persistent log. This is actually a worse problem than the one I previously reported on."

--
trey @ gépház

Jaj neeee, ebbol broken update lesz :(

Anno azt hiszem a curlftpfs vagy valamelyik másik ftp kapcsolódás nyomait találtam a .bash_history-ban, el is gondolkodtam rajta, hogy ugyan ez user szinten elérhető fájl, de hát azért mégse kéne ott tárolni, biztos van erre valamilyen megoldás, gondoltam :).

Nomostan ha a parancssorba beírod a jelszót... Akkor megérdemled.

Egyetértek. Eleve sok tool ezért nem támogatja, hogy paraméterként át lehessen neki adni jelszót, mert lehallgatható, logokba bekerül. Pont azért, hogy kézzel kelljen beírni, és még a képernyőn se legyen nyoma, még annak sem, hogy hány karakter volt.


„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek…” Aron1988@PH Fórum