2012/05/07

小心 OSX Lion 洩漏你的密碼

不好了,Mac OSX 又有被發現有漏洞。這次發生在第一代 FileVault 加密系統上。如果你一直都在用第一代 FileVault 並安裝了 OSX Lion 10.7.3 的話就要注意了,別人可以在 Log 檔裡找到 FileVault 的密碼,即等於你的登入密碼。因為第一代 FileVault 的加密方式並不是全碟加密,而你 FileVault 的密碼只是以普通文字儲存在那個在非加密區的檔案內,所以只要有人用管理員或 root 的身份,或者有甚麼惡意程式的話,就可以在 Home 目錄內打開那 Log 檔,並得偷看你的密碼了。

它同時亦會影響 Time Machine 內的備份。如果你把蘋果備份到其他外置硬碟的話,那個備份的 Log 檔案同樣是沒有加密地儲存起來,別人只要能存取那硬碟,亦可以看到你的密碼。很不幸地,這個問題暫時還是沒有解決辦法,你現在只能小心保管你的 Mac 再等蘋果再釋出更新檔囉。

如果你使用的是 FileVault 2 的話,那就恭喜了。你不用擔心,因為它是全碟加密,所以別人無法看到那 Log 檔的。

 圖片來源:ZDNet
話說回來,為甚麼 FileVault 的密碼會這樣不設防地被儲存起來呢?原來是蘋果的某個開發人員意外地在推出 OSX Lion 10.7.3 的時候,將 FileVault 設定為偵錯模式。這樣的 deployment 實在是十分危險(不過可能那位開發人員的前途可能更危險),蘋果可要好好檢討她的品質檢測程序了。

消息來源:Apple security blunder exposes Lion login passwords in clear text

沒有留言:

張貼留言