Il ricercatore Matheus Mariano di Leet Tech ha scoperto una vulnerabilità inerente la cifratura delle password in fase di creazione di un nuovo volume APFS.
Ad esempio, se un utente mentre crea un volume APFS tramite Utility Disco, imposta una password ed il relativo suggerimento, il sistema memorizzerà la password in chiaro al posto del suggerimenti inserito, quindi ad un malintenzionato basterà richiedere il suggerimento password per scoprire la vera e propria password per accedere al volume.
Di seguito un video pubblicato dallo sviluppatore che ne mostra i passaggi:
La vulnerabilità affligge solo i Mac con unità SSD e solo quei utenti che hanno inserito un “suggerimento password” nella creazione di un nuovo volume.
Apple ha pubblicato un aggiornamento di emergenza volto a risolvere il problema, inoltre se avete un Mac che rientra tra quelli vulnerabili, potete seguire le istruzioni di CertNazionale (riportate in inglese qui)
Via: New macOS High Sierra vulnerability exposes the password of an encrypted APFS container