کمیته رکن چهارم – یک خطای برنامهنویسی مهم در آخرین نسخهی ۱۰.۱۳ هایسیرای مک اپل کشف شده است که گذرواژههای مقادیر سامانهی پروندهی اپل (APFS) رمزنگاریشده را در قالب متن ساده آشکار میکند.
متیاس ماریانو، توسعهدهندهی برزیلی گزارش داد، این آسیبپذیری مقادیر رمزنگاریشده با استفاده از APFS را تحت تاثیر قرار میدهد که در آن، بخش راهنمای گذرواژه، گذرواژهی واقعی را در متن ساده نشان میدهد.
بله درست متوجه شدید، سامانه عامل مک شما به جای راهنمای گذرواژه، گذرواژهی واقعی را نشان میدهد. ماه سپتامبر، اپل نسخهی ۱۰.۱۳ هایسیرا مک با سامانهی پروندهی اپل (APFS) به عنوان سامانهی پروندهی پیشفرض و دیگر دستگاههای ذخیرهسازی فلش را منتشر کرد و رمزنگاریِ قوی و کارآیی بهتر را قول داد.
ماریانو در حالی این مسئله امنیتی را کشف کرد که از Disk Utility در هایسیرای مک استفاده میکرد تا یک مقدار APFS رمزنگاریشدهی جدید را در یک مخزن اضافه کند. هنگام افزودن یک مقدار جدید، از او درخواست شد تا یک گذرواژه تنظیم کند و در صورت تمایل یک راهنما برای آن بنویسد. بنابراین، هر زمان که مقدار جدید نصب شد، سامانه عامل مک از کاربر میخواهد تا گذرواژه را وارد کند. به هرحال، ماریانو متوجه شد که وقتی روی دکمهی «نمایش راهنما» کلیک کرد، به جای گذرواژهی راهنما گذرواژهی واقعی او نشان داده شد.
این مسئلهی امنیتی تنها مسئلهای نیست که در آخرین سامانه عامل رومیزی اپل کشف شده است. فقط چند ساعت قبل از انتشار هایسیرا، پاتریک وارل نفوذگر سابق آژانس امنیت ملی آمریکا، جزئیات یک آسیبپذیری حیاتی دیگر را به صورت عمومی منتشر کرد که به برنامههای نصبشده اجازه میداد تا گذرواژهها و دادههای محرمانه را از برنامهی keychain سامانه عامل مک به سرقت ببرند.
خبر خوب این است که روز پنجشنبه اپل یک بهروزرسانی تکمیلی برای هایسیرا ۱۰.۱۳ منتشر کرد تا هر دو آسیبپذیری را وصله کند. کاربران مک میتوانند این بهروزرسانی را از فروشگاه برنامهی مک نصب کرده و یا آن را از وبگاه نرمافزار اپل بارگیری کنند. لازم به ذکر است که تنها نصب بهروزرسانی، مسئلهی افشاء گذرواژهی APFS را حل نمیکند. اپل یک راهنمای کاربر برای اشکال افشاء گذرواژه منتشر کرده که شما میتوانید با پیروی از آن از دادههای خود محافظت کنید.
منبع : news.asis.io
