苹果公司对OS X Lion的最新安全更新(10.7.3)带有打开的调试开关,在以前用公司FileVault加密的第一版加密过的文件夹中,密码以纯文本形式打开。DIE Consulting的所有者David I. Emery 在5月5日星期六披露了Cryptome加密邮件列表中
的漏洞。Apple在2月发布了该漏洞修复程序。
Emery报告说,调试开关(DEBUGLOG)似乎被无意间打开了。该安全漏洞使所有具有root或管理员访问权限的用户都可以在系统范围的日志文件中读取加密的主目录树(旧版FileVault)的登录密码。
Emery写道,默认情况下,该日志会保留数周。这意味着任何可以读取可用于组管理的文件的人都可以发现自2月升级以来已登录的Lion-FileVault之前主目录用户的登录信息。
之所以如此糟糕,是因为没有登录密码的入侵者可以读取日志以及加密的分区。可以通过将计算机引导到FireWire磁盘模式来完成,该模式允许通过将驱动器作为磁盘打开或引导Lion中引入的恢复分区来读取日志和分区。然后,入侵者使用可用的超级用户外壳程序来挂载主文件系统分区,Emery说。
情况变得更糟。
埃默里(Emery)从理论上讲,苹果公司的Time Capsule备份工具可能已使用明文可用的密码对备份进行了加密。
“对于那些使用Apple简易备份工具('Time Capsule')的用户,可以假定这些工具仅将FileVault旧主目录的sparsebundle加密容器的副本写入备份介质,这意味着未加密的备份仍会为包含的加密主目录提供保护。” “但是有了解密存储在(未加密)备份上的备用备件所需的密码,这种假设就不再成立了。”
Emery说,用户可以通过使用FileVault 2(提供全磁盘加密)来部分保护自己免受攻击。这种加密要求用户在访问磁盘主分区上的文件之前至少知道一个用户登录密码。
他说,此外,通过设置固件密码可能会得到较弱的保护,这是用户启动引导分区或外部介质或进入FireWire磁盘模式之前所必需的。但是,Apple现场支持人员知道有一种技术可以关闭此功能。
Sophos的高级安全顾问Chester Wisniewski写道,这种安全手段证明了加密的重要意义:安全算法很重要,但这“很少是最重要的因素”。
Wisniewski 在Sophos的Naked Security博客中写道: “产品如何存储,管理和保护密钥和密码是确保数据保护的最常见失败点。” “此事件证明了实现的重要性高于诸如密钥强度和密码复杂性之类的技术论点。苹果承诺,如果AES [高级加密标准]加密选择将密码存储在可访问的日志文件中,则它毫无意义。” 他说,当然,备份纯文本密码的可能性意味着即使在修复程序出来后,也很难确保将其和原始纯文本密码都安全擦除。
因此,Wisniewski建议Mac用户考虑更改密码,然后即使在应用补丁程序之后也不要在其他任何系统上使用这些密码。