macOS10.13上的磁盘工具程式被发现漏洞，竟然会显示纯文字管理者密码

2024-11-24 209

开发者 Matheus Mariano 最近发现 Mac 上有个很古怪的问题，这个问题存在于系统内的磁盘工具程式，最大的问题在于他会非常直接的用纯文字状态显示你的密码，而稍微懂点电脑的人都知道，骇客要入侵你的电脑，最重要的就是拿到密码，有管理者密码就一切通行。因此 Apple 目前针对这个漏洞紧急推出更新，将问题修补起来：

根据该位开发者的说法，他声称在 Mac 新版操作系统 High Sierra 当中发现了新漏洞。这个漏洞其实也不是第一天被发现，过去就发现到骇客有办法透过操作系统内的磁盘工具，创造新的加密 APFS 卷宗，然后画面会显示输入密码与密码提示按钮的画面，在那时候，只要点下密码提示纽，就会直接看到管理者密码。

当然，这个漏洞虽然看起来很可怕，但实际影响的部分只有在磁盘工具程式上。如果骇客想进入你的 Apple ID ，不会发生相同的现象，按下密码提示就显示密码全文给你看的景况。而且令人在意的是，这个问题竟然也只会发生在具有 SSD 的 Mac系统上。如果没有使用磁盘工具程式，甚至是没有设定密码提示，这些问题都会不复见：

▲macOS High Sierra 正式版刚推出不久，竟传出如此严重的问题。

但是，不管其他的地方有多么安全，在磁盘工具程式上获得的密码，仍可能作为其他服务的钥匙。他可能用这组密码去尝试使用者的其他网络服务，并可能获得大量的成果，并窃取其中的隐私资讯。这些都让人担忧。

目前 Apple 公司已经着手推出专为这个漏洞而生的临时更新档，这一两天应该就会出现在大家的电脑中。但对大家来说，在不同的服务使用不同的密码，仍然是相当重要的资安知识。很多人因为记不住所有的密码，将所有的服务用一组密码来管理，如果像这次的事件一样，自己唯一的密码被泄漏，很可能就会遭遇到极大的损失。轻则突然无法登入某些服务，重则身份被盗用，用来做非法的勾当。

Apple 也针对这个漏洞提出建议，认为对安全方面有所疑虑的人，建议在修补漏洞以后，将受影响的分割区与卷宗重新格式化，并格式化为 “APFS （加密）”，然后再还原先前加密的资料。这样一来，安全性得以获得保障。资料的隐密性也获得了加强的保护。只是这些步骤都很花时间，需要找个空档来做：

▲在更新这个临时更新程式后，把有问题的分割区删除重新格式化，是个比较安全的方案。