Un bug en Apple macOS High Sierra expone la contraseña para los volúmenes de APFS encriptados como sugerencia

Estándar

En un post publicado en el portal de noticias de seguridad informática TheHackerNews, se da cuenta del descubrimiento de un bug de seguridad muy severo descubierto por el desarrollador brasileño Matheus Mariano, esta vulnerabilidad afecta a los volúmenes cifrados utilizando APFS, donde la sección de sugerencias (hint) de contraseña muestra la contraseña real del volumen en formato de texto plano.

Sí, Ud. ha leido bien. Las computadoras Mac revelan la contraseña real en lugar de una sugerencia de cómo debe ser la misma.

En septiembre, Apple lanzó MacOS High Sierra 10.13 con APFS como el sistema de archivos por defecto para unidades de estado sólido (SSD) y otros dispositivos de almacenamiento totalmente flash, prometiendo tanto un cifrado fuerte y un mejor rendimiento.

Mariano descubrió el problema de seguridad mientras usaba Disk Utility en macOS High Sierra para agregar un nuevo volumen APFS cifrado a un contenedor. Al agregar un nuevo volumen, se le pidió que estableciera una contraseña y opcionalmente el sistema ofrecía una pista para ello.

Sin embargo, Mariano notó que cuando hizo clic en el botón “Show Hint”, se mostraba la contraseña real del volumen en texto plano en lugar de la sugerencia de contraseña.
Puede ver la demostración del problema en el siguiente vídeo:

 

Este problema de seguridad no es el único descubierto en la último versión del sistema operativo de escritorio presentado por Apple.

Recordemos que a pocas horas antes del lanzamiento de High Sierra, el ex hacker de la NSA, Patrick Wardle, reveló públicamente los detalles de una vulnerabilidad crítica que permitía a las aplicaciones instaladas robar contraseñas y datos secretos del Keychain macOS.

Afortunadamente para los usuarios de macOS, Apple lanzó una actualización suplementaria de MacOS High Sierra 10.13 el pasado 28 de Septiembre, para abordar ambos problemas. Los usuarios de Mac pueden instalar la actualización desde la Mac App Store o descargarla desde el sitio del software de Apple.

Para una compañía que afirma tener como meta la excelencia, todos estos problemas revelan una mala gerencia y un pésimo control de calidad en sus procesos de desarrollo de software. Eso sin mencionar la recientes quejas de usuarios en China que dicen que los iPhone 8 están explotando.