Descubren que se puede obtener la contraseña en texto plano de los volúmenes cifrados de macOS

Parece que 2018 no está siendo el mejor año de macOS en cuanto a la confianza que ofrece a nivel de privacidad y fiabilidad. En el mes de enero, y separados por solo unos pocos días, nos hicimos primero eco de un fallo de programación que hacía aceptar cualquier palabra como contraseña a la hora de acceder a los ajustes de la App Store. Cuatro días después vimos cómo un carácter hindú podía bloquear una gran cantidad de aplicaciones en Mac e iOS.

Más recientemente, la analista forense Sarah Edwards ha descubierto otro importante fallo de programación en APFS (Apple File System), el sistema de ficheros que reemplazó hace un año a HFS+ en los sistemas operativos de Apple, abarcando macOS, iOS, tvOS y WatchOS. A pesar de que el sistema de ficheros más reciente promete un cifrado fuerte y mejoras en el rendimiento frente a su predecesor, el fallo encontrado por Sarah Edwards hace que la contraseña de cifrado para un volumen APFS recién creado termine almacenada en texto plano en los registros unificados.

Esto quiere decir que cualquiera que consiga acceso a los registros, incluso saltándose las autorizaciones, podría obtener la contraseña utilizada para cifrar el sistema de ficheros para luego acceder a este. Por ejemplo se podría crear un malware dedicado a recolectar los registros para luego enviárselos a una persona malintencionada. Obtener la contraseña resulta en sí sencillo, solo necesitando para ello ejecutar un comando desde una consola:

Sarah Edwards cree que este fallo de programación puede derivarse de otros relacionados con el proceso de cifrado de APFS. De momento solo ha sido encontrado por defecto en las versiones 10.13 y 10.13.1 de macOS, aunque también ha podido ser explotado en versiones de mantenimiento posteriores cuando se cifra un volumen APFS que antes no estaba cifrado, siendo este el resultado obtenido por la investigadora: