Apple-blunder ontbloot wachtwoorden
Een beveiligingsupdate voor Mac OS X 10.7.3 zorgt er voor dat wachtwoorden zomaar in een tekstbestand te grabbel liggen.
Apple heeft bij de update per vergissing een logbestand om te debuggen achtergelaten op het systeem. Dat bestand bewaart de inloggegevens van elke gebruiker die sinds OS X Lion update 10.7.3 heeft ingelogd.
[related_article id=”158256″]
Het probleem werd ontdekt door beveiligingsonderzoeker David Emery. Hij meldde zijn bevindingen in de Cryptome mailinglijst. Volgens hem is de bug tot op heden nog niet opgelost.
FileVault
De fout heeft vooral gevolgen voor bestanden die beveiligd zijn met de FileVault-encryptie van Apple. Het bestand met wachtwoorden wordt immers buiten die encryptie bewaard. Maar eender wie met administratierechten of root-toegang heeft toegang tot het bestand en in het verlengde daarvan de bestanden die beveiligd worden door de wachtwoorden in dat bestand.
Daarnaast kan je ook aan het logbestand door de harde schijf via firewire aan te sluiten of door het systeem op te starten met de herstelpartitie in Lion.
Met de gegevens in het tekstbestand krijg je toegang tot de beveiligde bestanden van andere gebruikers op het toestel. Vooral wiens Mac wordt gestolen loopt een ernstig risico. Ook backups met Time Machine naar externe harde schijven lopen hetzelfde risico. Hier is de data wel beveiligd, maar wordt het logbestand met wachtwoorden onbeveiligd mee bewaard.
De update werd door Apple vrijgegeven op 1 februari van dit jaar. Wie ze meteen installeerde loopt dus al enkele maanden een beveiligingsrisico. Het enige goede nieuws is dat het bestand enkel de logins van de laatste weken bijhoudt.
Bekend op het Apple-forum
De fout wordt al een tijdje opgemerkt door Mac-gebruikers op fora, maar vooralsnog werd er geen verklaring gevonden voor het probleem. Ook op het forum van Apple meldde drie maanden geleden tenminste één gebruiker al dat hij de fout had opgemerkt. Maar Apple heeft daar niet op gereageerd.
Wachtwoorden open en bloot bewaren is een ernstig beveiligingsprobleem. Apple moet er dus haast achter zetten als het zijn veilig imago niet nog meer op het spel wil zetten. Mogelijk gebeurt dat ook nu de fout wereldwijd bekendraakt.
Een beveiligingsupdate voor Mac OS X 10.7.3 zorgt er voor dat wachtwoorden zomaar in een tekstbestand te grabbel liggen.
Apple heeft bij de update per vergissing een logbestand om te debuggen achtergelaten op het systeem. Dat bestand bewaart de inloggegevens van elke gebruiker die sinds OS X Lion update 10.7.3 heeft ingelogd.
[related_article id=”158256″]
Het probleem werd ontdekt door beveiligingsonderzoeker David Emery. Hij meldde zijn bevindingen in de Cryptome mailinglijst. Volgens hem is de bug tot op heden nog niet opgelost.
FileVault
De fout heeft vooral gevolgen voor bestanden die beveiligd zijn met de FileVault-encryptie van Apple. Het bestand met wachtwoorden wordt immers buiten die encryptie bewaard. Maar eender wie met administratierechten of root-toegang heeft toegang tot het bestand en in het verlengde daarvan de bestanden die beveiligd worden door de wachtwoorden in dat bestand.
Daarnaast kan je ook aan het logbestand door de harde schijf via firewire aan te sluiten of door het systeem op te starten met de herstelpartitie in Lion.
Met de gegevens in het tekstbestand krijg je toegang tot de beveiligde bestanden van andere gebruikers op het toestel. Vooral wiens Mac wordt gestolen loopt een ernstig risico. Ook backups met Time Machine naar externe harde schijven lopen hetzelfde risico. Hier is de data wel beveiligd, maar wordt het logbestand met wachtwoorden onbeveiligd mee bewaard.
De update werd door Apple vrijgegeven op 1 februari van dit jaar. Wie ze meteen installeerde loopt dus al enkele maanden een beveiligingsrisico. Het enige goede nieuws is dat het bestand enkel de logins van de laatste weken bijhoudt.
Bekend op het Apple-forum
De fout wordt al een tijdje opgemerkt door Mac-gebruikers op fora, maar vooralsnog werd er geen verklaring gevonden voor het probleem. Ook op het forum van Apple meldde drie maanden geleden tenminste één gebruiker al dat hij de fout had opgemerkt. Maar Apple heeft daar niet op gereageerd.
Wachtwoorden open en bloot bewaren is een ernstig beveiligingsprobleem. Apple moet er dus haast achter zetten als het zijn veilig imago niet nog meer op het spel wil zetten. Mogelijk gebeurt dat ook nu de fout wereldwijd bekendraakt.