Kesalahan pemrograman yang parah telah ditemukan di MacOS High Sierra 10.13 yang memperlihatkan password dari volume Apple File System (APFS) terenkripsi ke dalam teks biasa.
Dilaporkan oleh Matheus Mariano, pengembang perangkat lunak Brasil, kerentanan tersebut mempengaruhi volume terenkripsi yang menggunakan APFS dimana bagian isyarat password menunjukkan kata kunci sebenarnya dalam teks biasa.
Jadi disini MacOs secara keliru mengungkapkan kata sandi sebenarnya dan bukan dalam isyarat.
Pada bulan September, Apple merilis MacOS High Sierra 10.13 dengan APFS (Apple File System) sebagai sistem file default untuk solid-state drive (SSD) dan perangkat penyimpanan flash lainnya, yang menjanjikan enkripsi serta kinerja yang lebih baik.
Mariano menemukan masalah keamanan saat ia menggunakan Disk Utility di MacOs High Sierra untuk menambahkan volume APFS terenkripsi baru ke sebuah kontainer. Saat menambahkan volume baru, dia diminta memasukkan kata sandi dan, opsional, menulis sebuah petunjuk untuknya.
Jadi, setiap kali volume baru terpasang, MacOS meminta pengguna untuk memasukkan kata sandinya.
Namun, Mariano memperhatikan bahwa ketika dia mengklik tombol “Tampilkan Petunjuk”, dia dilayani dengan kata sandi yang sebenarnya dalam teks biasa, bukan dalam isyarat kata sandi.
Kamu dapat melihat demonstrasi masalah keamanan tersebut dalam video di bawah ini:
Masalah keamanan ini bukan satu-satunya yang ditemukan di sistem operasi desktop Apple terbaru.
Beberapa jam sebelum perilisan High Sierra, mantan hacker NSA Patrick Wardle secara terbuka mengungkapkan rincian kerentanan kritis terpisah yang memungkinkan aplikasi terinstal mencuri password dan data rahasia dari keychain MacOS.
Kabar baiknya adalah Apple merilis update MacOS High Sierra 10.13 tambahan pada hari Kamis untuk memperbaiki kedua masalah tersebut. Pengguna Mac dapat menginstal pembaruan dari Mac App Store atau mendownloadnya dari situs Apple Software.
Perlu dicatat bahwa hanya menginstal pembaruan tidak akan mengatasi masalah pengungkapan password APFS. Apple telah menerbitkan sebuah panduan pengguna tentang bug pengungkapan password APFS, yang bisa kamu ikuti untuk melindungi data.
