取证分析师Sarah Edwards发现了macOS High Sierra操作系统的APFS文件系统漏洞。

根据Edwards的说法，该漏洞以纯文本形式暴露了加密外部驱动器的密码。

APFS（Apple File System，苹果文件系统）是macOS High Sierra及更高版本、iOS 10.3及更高版本、tvOS 10.2及更高版本、watchOS 3.2及更高版本的专有文件系统，由Apple Inc.开发和部署。APFS针对闪存固态驱动器存储，旨在提高加密和性能。

该漏洞在统一日志中以明文形式留下新创建的APFS卷的加密密码，还允许加密先前创建但未加密的卷。

Edwards在发表的博客文章中说，

我一直在使用新的APFS磁盘映像（APFS FTW！）更新我的课程（Mac和iOS取证和事件响应），在此过程中发现了一些问题，从取证的角度来看非常有用，但从安全的角度出发却非常可怕。下面是我的课程磁盘映像的屏幕截图。

起初它可能并不起眼（除了我已经添加的高亮部分），但是文本frogger13是我在新创建的带有卷名SEKRET的APFS格式的FileVault Encrypted USB驱动器上使用的密码。

这意味着任何有权访问机器的人都可以看到以明文形式存储的密码，专家们还警告说可以使用恶意软件收集日志文件以获取密码。

加密的APFS卷的密码可以通过在终端中运行以下newfs_apfs命令来获取：

log stream --info --predicate 'eventMessage contains "newfs_"'

Edwards更新了他的帖子，强调他已经在另一个更持久的系统日志中发现了类似的条目。他在这篇新的博客中写道，

在我之前更新过的博客中，我发现了另一个将纯文本密码写入系统日志的例子。这一次，我发现它在更持久的日志。这实际上比我之前报道的问题更糟糕。

以前的例子可以在统一日志中找到，它可以保存几周，这个新例子在系统的/var/log/install.log中存储了完全相同的信息。我发现install.log只会在重新安装时被清除（例如：10.11  – > 10.12  – > 10.13）。

Edwards指出，在Twitter用户@sirkkalap宣布无法重现他之前报告的问题后，他自己也无法重现。

Edwards说，

我认为在过去几天的某个时候，推出了静默的安全更新。我在install.log文件中做了进一步调查。就更新而言，唯一可能成为修复的原因是GateKeeper ConfigData更新v138（com.apple.pkg.GatekeeperConfigData.16U1432）。

专家强调说，在将非APFS驱动器转换为APFS并加密驱动器时，不会在明文中找到密码。

此漏洞只影响macOS 10.13和10.13.1，后来的macOS High Sierra版本据报道已经解决了这个问题。

在过去的几个月里，APFS发现了另外两个漏洞。2月苹果专家Mike Bombich发现了一个APFS文件系统漏洞，可导致macOS在特定条件下丢失数据。2017年10月，Apple发布了针对macOS High Sierra 10.13的补丁，该补丁解决了Apple文件系统中的一个漏洞，该漏洞在提示框中显示加密驱动器的密码。