Sarah Edwards ha encontrado una vulnerabilidad en macOS 10.13 High Sierra y macOS 10.13.1 High Sierra, posiblemente también en macOS 10.13.2 High Sierra, que guarda la contraseña visible de discos externos formateados con cifrado en APFS.

Si tú:

  • cifras un volumen APFS usando macOS 10.13 a 10.13.1 (y posiblemente 10.13.2 – Sarah todavía lo está comprobando) usando la Utilidad de Disco, y
  • tienes una copia del registro unificado recopilado en el momento del cifrado, en un archivo de registro
    es probable que el archivo de Log contenga la frase de contraseña grabada en texto plano. Por lo tanto, es posible que desees destruir o cifrar ese archivo de registro.

El error que ha encontrado afectaba a las primeras versiones de Disk Utility en High Sierra, ciertamente hasta 10.13.1 y posiblemente 10.13.2, pero parece haber sido corregido en 10.13.3. 1Durante el proceso de cifrado, Disk Utility llama a la herramienta newfs_apfs2 para que realizara la tarea utilizando una opción no documentada que se ejecuta con la bandera -S. Esta opción toma la contraseña en texto plano y la llamada se registraba debidamente en su totalidad, incluyendo la contraseña de texto plano, en el Log unificado. Más detalles en su blog.

Este es un agujero de seguridad diferente al de la encriptación de la Utilidad de Disco que fue arreglado en la Actualización Suplementaria urgente del 6 de octubre, y Sarah ha confirmado que este fallo persistió en 10.13.1.

Si tú:

  • no cifraste un disco duro externo usando la Utilidad de Disco antes de macOS 10.13.3, o
  • no tienes ningún registro antiguo almacenado en archivos de registro, y
  • realizaste ningún cifrado de discos duros externos hace más de 30 días,

entonces no deberías haber conservado ningún registro de texto plano de esa contraseña en un archivo de registro antiguo. El registro unificado normalmente elimina los archivos de registro antiguos después de unos 20 días.

Sin embargo, si cifraste con la Utilidad de disco en 10.13.1 3 o antes en los últimos 20 días más o menos, es probable que tus Logs actuales, almacenados en /var/db, sigan conteniendo la frase de contraseña en texto sin formato y que continúen haciéndolo hasta que el archivo de registro purgue ese archivo del disco. No hay manera de acelerar su eliminación, y no se puede alterar el archivo .tracev3 para eliminar esa información, sin dañar los registros.

Aparentemente Apple no ha emitido ninguna advertencia sobre este posible fallo de seguridad. Dado que el fallo parece haber sido reconocido y corregido, esto no parece más que un pequeño descuido.

Notas

  1. Actualización: No, no ha sido corregido en macOS 10.13.3 High Sierra, de forma que este problema sigue siendo reproducible en esta, hasta ahora y a fecha de este artículo, versión del sistema.
  2. parte de APFS
  3. posiblemente también en 10.13.2
In this article


Join the Conversation