Se encuentra un fallo
grave de programación en el sistema de archivos APFS para el SO MacOS High
Sierra que expone las contraseñas de unidades encriptadas.
Para el que no lo
conozca, APFS (Apple File System) es un sistema de archivos optimizado para
dispositivos de almacenamiento SSD y flash que ejecutan MacOS, iOS, TVOS y
WatchOS. Este sistema aseguraba tener una fuerte encriptación.
Sin embargo, la
analista forense Sarah Edwards ha descubierto un fallo que deja la contraseña
de cifrado de un volumen recién creado en los registros unificados en texto sin
formato.
Según el informe
registrado, el sistema guarda las claves de cifrado de los volúmenes APFS en el
propio disco en lugar de hacerlo en un fichero de log volátil que se elimine
tras utilizarlo.
Edwards también
comprobó que la falla solo afecta a MacOS 10.13 y 10.13.1, mientras que en
versiones posteriores del mismo sistema operativo ya han solucionado el fallo.
Cabe destacar que si
el volumen fue creado en una versión vulnerable a este fallo, es posible que lo
siga siendo a pesar de actualizar.
¿Cuál es el mayor
problema que presenta esto? Las contraseñas almacenadas en texto plano pueden
ser descubiertas por cualquier persona que tenga acceso no autorizado a su
máquina, y el malware también puede recopilar archivos de registro y enviarlos
a alguien con intenciones maliciosas.
MacOS High Sierra ha
sido una montaña rusa para muchos usuarios debido a la gran cantidad de
errores. Se rumorea por ello que la próxima versión (presumiblemente MacOS
10.14) se centrará en la corrección de errores y mejoras de la estabilidad.
Más información:
Publicación de Sarah
Edwards: https://www.mac4n6.com/blog/2018/3/21/uh-oh-unified-logs-in-high-sierra-1013-show-plaintext-password-for-apfs-encrypted-external-volumes-via-disk-utilityapp
Fuente: Hispasec
