Apple: ilyen biztonsági hibát sem sűrűn lehet látni

Furcsa biztonsági hibára derült fény a macOS legújabb kiadásában. Sokan nem is értik, hogy mindez miért nem tűnt fel eddig senkinek.
 

Egy brazil fejlesztő, Matheus Mariano a macOS High Sierra 10.13-at futtató számítógépén egy új, titkosított kötetet próbált létrehozni. Ennek során egy nagyon érdekes jelenségre lett figyelmes. A macOS egész egyszerűen kiírta az érvényes jelszavát, amivel aztán a titkosított kötet könnyedén feloldhatóvá vált. Azonnal gyors vizsgálódásba kezdett, és megpróbálta egy technikai dokumentációba összefoglalni a problémát. Amikor ezzel elkészült, akkor elküldte a felfedezését az Apple-nek, amely azonban eddig még nem nyilatkozott a feltárt rendellenesség kapcsán.
 
A jelszókezelési probléma az APFS (Apple File System) kötetek titkosítását végző összetevőben található. Ennek feladata éppen az lenne, hogy a korszerű APFS fájlrendszerben rejlő lehetőségek kihasználásával módot adjon a felhasználói állományok biztonságos, titkosítással felvértezett tárolására.
 
Amikor Mariano egy ilyen kötetet akart létrehozni, akkor először meg kellett adnia a jelszavát. Ekkor egy jelszóemlékeztetőt is beírt biztos, ami biztos alapon. A védett kötet létre is jött mindenféle probléma nélkül. A meglepetés akkor jött, amikor a fejlesztő ismét hozzá akart férni a kötethez. Ahogy az ilyenkor elvárt, a macOS arra kérte, hogy adja meg a jelszavát. Ekkor a szakember - talán véletlenül - megjelenítette a jelszóemlékeztetőt, azonban nem a korábban beírt emlékeztető szöveg tűnt fel az ablakban, hanem az érvényes jelszó a maga teljes valójában.  
Azóta kiderült, hogy a problémás jelszómegjelenítés akkor ölt testet, amikor a felhasználó jelszóemlékeztetőt is megad. Egyéb esetben a jelszó nem válik láthatóvá.
 
"Tényleg nem tudom, hogy ezt miért nem vette észre az Apple vagy bárki más" - nyilatkozta szűkszavúan Mariano.
 
Egy másik macOS fejlesztő, Felix Schwarz is kivizsgálta a rendellenességet, és rámutatott arra, hogy jelenleg olyan módon lehet kezelni a problémát, hogy a parancssoros diskutil eszközzel meg kell változtatni a jelszóemlékeztetőt. Ezt követően már nem jelenik meg a "féltve őrzött" jelszó a kötet felcsatolásakor.  
A legújabb macOS esetében nem ez az első biztonsági rendellenesség. Nemrégen problémák merültek fel a kulcskarika (keychain) kezelés, valamint az SKEL (Secure Kernel Extension Loading) védelmi mechanizmus kapcsán is. 

Frissítés: Az Apple soron kívül javította az APFS titkosítás kapcsán felmerült rendellenességet. Emellett a kulcskarika kezelést is biztonságosabbá tette. Így a macOS frissítésével a szóban forgó biztonsági rés könnyedén orvosolhatóvá vált.