f.zz.de
posts /

APFS und Encryption

Posted Fri Oct 6 08:48:44 2017 Florian Lohoff in

An der ganzen Apple APFS Encryption Geschichte finde ich eigentlich nicht das Faktum interessant das das Password angezeigt wird. Am ende ist das ein kleines Programmierfehler

- printf("%s", password);
+ printf("%s", hint);

Fixed. Was ich viel spannender finde.

WARUM HABEN DIE DAS KLARTEXT PASSWORD?

Normalerweise sollte mit dem Password nur der encryption key unlocked und dann vergessen werden. Das Klartext Passwort sollte nirgends gespeichert werden und am besten nicht einmal im Speicher oder Swap verbleiben.

Das ganze Thema ist mega fishy. Da ist mehr kaputt als nur das einzeigen eines Passwords - Da ist das gesamte Handling von Passwörten und Encrpytion Keys kaputt. Und wenn man mal ehrlich ist hört sich das einer semi einfachen Backdoor an. Da ist irgendwo das Passwort - man muss es nur finden.