В macOS найден баг для взлома зашифрованных внешних дисков

Судебный аналитик Сара Эдвардс (Sarah Edwards) обнаружила уязвимость, позволяющую взломать зашифрованные внешние HDD диски с файловой системой Apple. Ошибка актуальна для версии macOS 10.13.1, но в обновлении 10.13.2 она уже устранена.

Внезапный баг macOS

Девушка заметила брешь в ходе обновления курса Mac and iOS Forensics and Incident Response для обучения судебных аналитиков работе с устройствами Apple. Она готовила материал на тему файловой системы APFS и, введя в терминал небольшую команду, обнаружила пароль к своему USB-накопителю с названием «SEKRET».

Чтобы продемонстрировать уязвимость, девушка при помощи программы Disk Utility создала накопитель в формате Mac OS Extended (Journaled). Через пункт «Стереть» был создан зашифрованный том с названием «SECRET_USB». После нажатия на кнопку удаления, Сара ввела в терминал команду log stream –info –predicate 'eventMessage contains "newfs_"' с параметрами newfs_apfs и -S для просмотра унифицированных журналов. Среди показанной информации оказался пароль от накопителя — «frogger13». Сара отметила, что параметр -S отсутствует в документации.

По ее мнению, эта ошибка очень интересна для криминалистов, так как позволяет получить доступ к устройствам преступников. В то же время баг опасен с точки зрения информационной безопасности.

Подобные уязвимости в macOS не являются редкостью. В ноябре 2017 года турецкий программист Леми Орхан Эргин (Lemi Orhan Ergin) обнаружил способ быстрого получения root-прав на любом компьютере Apple.