Se encuentra un fallo grave de programación en el sistema de archivos APFS para el SO MacOS High Sierra que expone las contraseñas de unidades encriptadas.
Para el que no lo conozca, APFS (Apple File System) es un sistema de archivos optimizado para dispositivos de almacenamiento SSD y flash que ejecutan MacOS, iOS, TVOS y WatchOS. Este sistema aseguraba tener una fuerte encriptación.
Sin embargo, la analista forense Sarah Edwards ha descubierto un fallo que deja la contraseña de cifrado de un volumen recién creado en los registros unificados en texto sin formato.
Según el informe registrado, el sistema guarda las claves de cifrado de los volúmenes APFS en el propio disco en lugar de hacerlo en un fichero de log volátil que se elimine tras utilizarlo.
La contraseña para un volumen cifrado APFS se puede recuperar fácilmente ejecutando el siguiente comando:
Edwards también comprobó que la falla solo afecta a MacOS 10.13 y 10.13.1, mientras que en versiones posteriores del mismo sistema operativo ya han solucionado el fallo.
Cabe destacar que si el volumen fue creado en una versión vulnerable a este fallo, es posible que lo siga siendo a pesar de actualizar.
¿Cuál es el mayor problema que presenta esto? Las contraseñas almacenadas en texto plano pueden ser descubiertas por cualquier persona que tenga acceso no autorizado a su máquina, y el malware también puede recopilar archivos de registro y enviarlos a alguien con intenciones maliciosas.
MacOS High Sierra ha sido una montaña rusa para muchos usuarios debido a la gran cantidad de errores. Se rumorea por ello que la próxima versión (presumiblemente MacOS 10.14) se centrará en la corrección de errores y mejoras de la estabilidad.
@dpua_
dpua@hispasec.com
Deja un comentario