image

Apple blunder lekt Lion wachtwoorden in platte tekst

zondag 6 mei 2012, 22:54 door Redactie, 12 reacties

Door een fout in een beveiligingsupdate voor Apple's Mac OS X Lion, worden wachtwoorden van de gebruiker in platte tekst opgeslagen. Een ontwikkelaar zou per ongeluk een debug optie hebben laten aanstaan, waardoor een logbestand wordt aangemaakt die het wachtwoord buiten het versleutelde gedeelte van de harde schijf opslaat. Bij bepaalde configuraties maakt de Lion OS X 10.7.3 update een logbestand aan, waarin de wachtwoorden van alle gebruikers staan die sinds de update zijn ingelogd. De wachtwoorden worden onversleuteld, in platte tekst bewaard.

De kwetsbaarheid zou als eerste door beveiligingsonderzoeker David Emery zijn gerapporteerd, die zijn ontdekking op de Cryptome mailinglist publiceerde. Ondanks verschillende nieuwe updates die Apple uitbracht, is het probleem nog altijd niet verholpen. Het probleem speelt alleen bij mensen die vanaf Snow Leopard naar Lion zijn geüpgraded.

"Dit is erger dan het lijkt, aangezien de log in kwestie ook gelezen kan worden door de machine in Firewire diskmode op te starten en het bestand te lezen door de schijf als een schijf te openen of door vanaf de Lion recovery partitie op te starten en de beschikbare superuser shell te gebruiken om het bestandssysteem te mounten en het bestand te lezen", aldus Emery.

Catastrofaal
Aangezien het logbestand buiten het versleutelde gedeelte toegankelijk is, kan iedereen met administrator- of root-toegang die inzien. "Dit lek van inloggegevens kan catastrofaal voor bedrijven zijn die al jaren op de Filevault feature in Macs vertrouwen. Filevault is bedoeld om gevoelige informatie te beschermen door een versleutelde home directory te bieden", zegt Emil Protalinski van Zdnet.

Als een werknemer zijn Mac verliest, kan alle versleutelde informatie toch worden ingezien als de kwetsbare configuratie wordt gebruikt. Het probleem treft ook Time Machine back-ups op externe harde schijven. Aangezien het logbestand met het vereiste wachtwoord om de back-ups te lezen ook is opgeslagen, kan een kwaadwillende die de externe schijf in handen krijgt alsnog alle bestanden inzien.

Wachtwoord
Op het Apple forum zou het probleem drie maanden geleden al door iemand zijn gerapporteerd. Niemand reageerde op zijn bevindingen. Ook op het forum van Novell wordt het probleem besproken

Apple heeft nog niet gereageerd. Mocht er een update uitkomen, dan krijgen gebruikers het advies om na de installatie ervan het wachtwoord te wijzigen, aangezien het oude wachtwoord op verschillende plaatsten in platte tekst kan zijn achtergebleven. Voor gebruikers die nu al actie willen ondernemen zijn deze tips online verschenen.

Reacties (12)
06-05-2012, 23:43 door Anoniem
En hier word weer pijnlijk duidelijk dat support gewoonlijk niet in staat is om veiligheids probleem te herkennen, goed in te schalen en naar behoren aan te pakken. De gebruikers die het maanden geleden al ontdekten schenen niet te weten hoe je zo'n veiligheids probleem verantwoordelijk kan laten afhandelen. Zie daar fout op fout op fout, waardoor een probleem alleen maar groter is geworden.

Emil kan leuk praten, maar catastoraal is als de wereld vergaat. Als iemand bij je logbestanden kan dan heb je al een ander probleem... Maar goed, Emil is dan ook maar een gewone IT-Tech schrijver die toevallig ook voor ZDnet mag schrijven over veiligheid nieuws en dan een mening heeft.
07-05-2012, 00:40 door Whoops
Door Redactie: Apple heeft nog niet gereageerd.
We moeten Apple wel een beetje ruimte geven hoor.
Het probleem is pas drie maanden geleden voor het eerst gemeld.
Daarbij heeft Apple ook nog eens weken werk gehad aan een Java update.
07-05-2012, 05:45 door Anoniem
Apple had het te druk met downplayen van vorige lekken of het overtreden van consumentenwetgeving.
07-05-2012, 07:33 door Anoniem
Door Whoops:
Door Redactie: Apple heeft nog niet gereageerd.
We moeten Apple wel een beetje ruimte geven hoor.
Het probleem is pas drie maanden geleden voor het eerst gemeld.
Daarbij heeft Apple ook nog eens weken werk gehad aan een Java update.

Hoeveel ruimte zou Microsoft krijgen om te reageren? Nou dan, dus ook geen ruimte voor Apple. MS is tegenwoordig vele malen sneller met melden en fixen waar het arrogante Apple weleens een voorbeeld aan zou kunnen nemen.
07-05-2012, 08:32 door Anoniem
Hetzij ik lees het verhaal verkeerd, maar volgens mij gaat het hier ALLEEN over situaties waar gebruikers van FileVault hun systeem upgraden zonder hun FileVault eerst uit te schakelen. Dan heb je daarna een nieuwe installatie met een oude FileVault. Als je dan zo nerveus bent ingesteld dat je niet wilt dat iemand jouw data leest, dan zou je toch verwachten dat men eerst de FileVault uitschakelt, een back-up maakt en pas daarna gaat upgraden naar een nieuwe versie. Daarna FV2 inschakelen en er is geen probleem meer.

Beetje hoop gedoe over iets wat eenvoudig op te lossen is.

Overigens die opmerking om je /var/logs/* te RM-en vind ik erg kort door de bocht.
Categorie Format C en begin opnieuw
07-05-2012, 10:16 door Anoniem
En dit is nog maar het begin.. Het wordt een dolle boel met Apple....
07-05-2012, 11:46 door Anoniem
ach ik heb gelijk geupdate naar het filevault 2 whole disk encryption. Dat zou m.i iedereen moeten doen die encryptie gebruikt. je gebruikt toch ook geen hangslot uit 1990 om je voordeur op slot te zetten? zou het zelfde zijn als dat mensen met windows xp klagen dat hun systeem zo gevoelig is voor lekken. Feit is echter wel dat Apple de laatste tijd flink onder schot genomen word. Ook dit is M.I een goede zaak. Omdat ze namelijk zo vaak buiten schot bleven kan er nog wel 1 en ander verbeterd worden qua security.
07-05-2012, 13:52 door Anoniem
Een aantal collega's met een clean Lion install (zonder FileVault) kunnen hun wachtwoord ook zonder problemen terugvinden in de logs. Het treft dus niet alleen mensen die geupgraded zijn van Snow Leopard naar Lion en legacy Filevault gebruiken.
07-05-2012, 17:15 door Anoniem
@ Anoniem 13:52
Ik ben geen enkel security bulletin tegengekomen waarin staat dat deze bug (slechte zaak) ook bij een Mac optreedt waar een clean Lion installatie is gedaan, sterker nog bij de twee Macs (met Lion) die ik hier heb was het wachtwoord niet in de log-files te vinden. Maw. ik zet grootte vraagtekens bij jou bewering.
07-05-2012, 21:21 door Whoops
Door Anoniem:
Door Whoops:
Door Redactie: Apple heeft nog niet gereageerd.
We moeten Apple wel een beetje ruimte geven hoor.
Het probleem is pas drie maanden geleden voor het eerst gemeld.
Daarbij heeft Apple ook nog eens weken werk gehad aan een Java update.
Hoeveel ruimte zou Microsoft krijgen om te reageren? Nou dan, dus ook geen ruimte voor Apple. MS is tegenwoordig vele malen sneller met melden en fixen waar het arrogante Apple weleens een voorbeeld aan zou kunnen nemen.
Check de volgende link:
http://nl.wikipedia.org/wiki/Ironie

En lees vervolgens nogmaals mijn reactie.
08-05-2012, 12:25 door Anoniem
Door Anoniem: @ Anoniem 13:52
Ik ben geen enkel security bulletin tegengekomen waarin staat dat deze bug (slechte zaak) ook bij een Mac optreedt waar een clean Lion installatie is gedaan, sterker nog bij de twee Macs (met Lion) die ik hier heb was het wachtwoord niet in de log-files te vinden. Maw. ik zet grootte vraagtekens bij jou bewering.

Ik had er wellicht nog moeten bijzetten dat dit effect optreedt wanneer je een CIFS homefir mount - of elke andere (home)dir waarvoor authenticatie vereist is.
08-05-2012, 12:26 door Anoniem
apple is toch alleen voor de hobby ICTer?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.