OS X Lion: wachtwoord in plain-text

Mac_OS_X_Lion.jpg

Nachtmerrie voor iedere computergebruiker; de computer slaat wachtwoorden op in een eenvoudig te lezen tekstbestand. Dat blijkt het geval bij sommige configuraties van de laatste update van OS X, OS X Lion 10.7.3. Het gaat om alle systemen die de FileVault encryptie gebruikten, vervolgens de upgrade naar Lion kregen, en daarna de oude versie van FileVault bleven gebruiken. FileVault 2 (encryptie van de complete disk) heeft nergens last van. Omdat het logbestand met de wachtwoorden er in op een niet-versleuteld deel van de harddisk staat, kan iedereen met administrator- of root-rechten de wachtwoorden uitlezen en zo toegang verkrijgen tot versleutelde delen van de disk. Met name voor bedrijven die voor hun beveiliging vertrouwen op FileVault kan het lek pijnlijk zijn. Een systeem dat nu wordt gestolen, kan compleet worden uitgelezen. De wachtwoorden staan eventueel ook in met Time Machine gemaakte backups. Er is van Apple nog geen oplossing. Wijzigen van het wachtwoord heeft geen zin, omdat ook dat wordt weggeschreven.