Судебный аналитик Сара Эдвардс (Sarah Edwards) обнаружила уязвимость, позволяющую взломать зашифрованные внешние HDD диски с файловой системой Apple. Ошибка актуальна для версии macOS 10.13.1, но в обновлении 10.13.2 она уже устранена.
Внезапный баг macOS
Девушка заметила брешь в ходе обновления курса Mac and iOS Forensics and Incident Response для обучения судебных аналитиков работе с устройствами Apple. Она готовила материал на тему файловой системы APFS и, введя в терминал небольшую команду, обнаружила пароль к своему USB-накопителю с названием «SEKRET».
Пароль к зашифрованному внешнему накопителю
Чтобы продемонстрировать уязвимость, девушка при помощи программы Disk Utility создала накопитель в формате Mac OS Extended (Journaled). Через пункт «Стереть» был создан зашифрованный том с названием «SECRET_USB». После нажатия на кнопку удаления, Сара ввела в терминал команду log stream –info –predicate 'eventMessage contains "newfs_"' с параметрами newfs_apfs и -S для просмотра унифицированных журналов. Среди показанной информации оказался пароль от накопителя — «frogger13». Сара отметила, что параметр -S отсутствует в документации.
По ее мнению, эта ошибка очень интересна для криминалистов, так как позволяет получить доступ к устройствам преступников. В то же время баг опасен с точки зрения информационной безопасности.
Подобные уязвимости в macOS не являются редкостью. В ноябре 2017 года турецкий программист Леми Орхан Эргин (Lemi Orhan Ergin) обнаружил способ быстрого получения root-прав на любом компьютере Apple.
Источник: блог mac4n6
