macOS: Sicherheitslücke erlaubt das Auslesen von Passwörtern

Über Thunderbolt kann ein Angreifer in Sekunden die Festplattenverschlüsselung FileVault aushebeln. Ein schwedischer Sicherheitsforscher informierte Apple schon im Sommer über die Schwachstelle. Sie wurde erst in diesem Monat mit macOS 10.12.2 behoben.

Eine Sicherheitslücke erlaubt, das Passwort von Macs auszulesen, die mit der Festplattenverschlüsselung FileVault gesichert sind. Das hat der schwedische Sicherheitsforscher Ulf Frisk anschaulich demonstriert, der die Schwachstelle Ende Juli entdeckte und bereits Mitte August Apple unterrichtete. Beseitigt wurde die Schwachstelle jedoch erst in diesem Monat mit macOS 10.12.2. Mit dieser Version stopfte Apple insgesamt 72 zum Teil schwerwiegende Sicherheitslöcher, was ein Update von Mac-Rechnern dringend nahelegt. Nicht aktualisierte Rechner bleiben weiterhin für den beschriebenen Angriff anfällig.

(Screenshot: ZDNet.de)

Frisk, der sich bescheiden IT-Sicherheits-Handlanger und DMA-Hacker nennt, hat die für den Angriff benötigte Software PCILeech auf GitHub veröffentlicht. Mit dieser unter Windows laufenden Exploit-Software könnte ein jeder, einschließlich der Kollegen, der Polizei oder eines ‚diebischen Zimmermädchens‘ (Evil Maid Attack) vollständigen Zugang zu Mac-Daten erlangen, wie der Sicherheitsforscher in einem Blogeintrag ausführt.

Dazu wird allerdings physischer Zugriff auf den Mac und ein Thunderbolt-Gerät benötigt, dessen Hardware mit einem PCI-Express-Board rund 300 Euro kostet. Dann genügt der Anschluss an einen gesperrten oder in den Schlaf-Modus geschickten Mac-Rechner, um nach einem per Tastenkombination erzwungenen Neustart innerhalb von weniger als 30 Sekunden an das Passwort zu kommen. Um nicht durch diese Angriffsmethode verwundbar zu sein, muss ein Mac vollständig ausgeschaltet werden.

Zwei verschiedene Probleme ermöglichen laut Frisk diese Vorgehensweise. Zum einen schützt sich ein Mac vor dem Start des Betriebssystems nicht gegen DMA-Attacken (Direct Memory Access). Das zu diesem frühen Zeitpunkt laufende EFI erlaubt es bösartigen Geräten aber schon vorher, über Thunderbolt im Speicher zu lesen und zu schreiben. Erst nach seinem Start aktiviert macOS DMA-Schutzvorkehrungen.

Umfrage

Welchen Stellenwert hat Nachhaltigkeit für IT-Anschaffungen Ihres Unternehmens?

Ergebnisse anzeigen

Loading ... Loading ...

Als zweites Problem kommt hinzu, dass das FileVault-Passwort im Klartext im Speicher abgelegt ist und auch nach der Festplattenverschlüsselung nicht automatisch aus dem Speicher gelöscht wird. Nach einem Neustart bleibt ein Zeitfenster von einigen Sekunden offen, um an das Passwort zu kommen, bevor es durch neue Inhalte überschrieben wird.

Der schwedische Sicherheitsforscher kam bei seinen Versuchen erfolgreich an die Passwörter von verschiedenen MacBooks und MacBook-Air-Modellen, die alle mit Thunderbolt 2 ausgestattet waren. Nicht getestet wurden neuere Macs mit einem Anschluss vom Typ USB-C.

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Apple, MacBook, Sicherheit, macOS

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

21 Kommentare zu macOS: Sicherheitslücke erlaubt das Auslesen von Passwörtern

Kommentar hinzufügen
  • Am 19. Dezember 2016 um 19:10 von SucherImWinde

    Was ist mit PeerH passiert?
    Urlaub?
    Seine geschätzte Meinung zu diesem Thema würde mich interessieren!

  • Am 19. Dezember 2016 um 22:12 von kreaktiv

    Warum? Apple hat doch rasend schnell reagiert. Nicht mal 6 Monate haben sie gebraucht um den Bug zu beseitigen. Und sie haben nicht ihre Kunden informiert damit die fleißig weiter in die Falle tapsen konnten. Und PeerH konnte uns weiterhin (noch vor kurzem) das schöne Märchen vom absolut sicheren OSX erzählen. Jetzt ist er erst mal ruhig und übermorgen erzählt er das Märchen wieder.

  • Am 19. Dezember 2016 um 22:53 von Mac-Harry

    Wozu? Zu einer einzigen Lücke in OS X, die beseitigt wurde oder zu unzähligen Windows-Lücken mit Namen Legion?

    • Am 20. Dezember 2016 um 9:59 von C

      @Mac-Harry: mal wieder (zum x-ten mal) realitätsfern?

      Zitat aus Deinem Post:
      „… Zu einer einzigen Lücke in OS X“

      Zitat aus der News:
      „… stopfte Apple insgesamt 72 zum Teil schwerwiegende Sicherheitslöcher“

      Träum schön weiter in Deiner „heilen“ und gefühlt sicheren Welt.
      Die 72 Löcher betreffen nur dieses Release, wohlgemerkt.

  • Am 20. Dezember 2016 um 1:19 von Juppdich

    Na, da habe ich aber echt Schwein gehabt, dass sich in der Zwischenzeit kein Einbrecher in meine Wohnung geschlichen hat und die Haaaammerlücke mit selbst gefrickelter Hardware ausgenutzt hat, um dann das Passwort auszuspähen… huuu!
    @kreativ: Bin voll reingetappt, in die Falle!

    • Am 20. Dezember 2016 um 10:06 von C

      @Juppdich

      Der Einbrecher & Angreifer hat die anderen 71 Löcher ausgenutzt, das war noch schneller. Nur hast Du nichts davon bemerkt und fühlst Dich scheinbar weiterhin „sicher“. Was man nicht weiß, macht einen nicht heiß.

      Und ja, Du bist voll in der Falle und im Hamsterrad gefangen, aus dem Du nicht alleine scheinbar heraus kommen kannst. Die Apfel-Bevormundung klappt ja hervorragend bei Dir.

      Selbst der Finanz-Chef legt neuerdings diese Argumentations-Kette bzgl. der angeordneten Steuer-Straf-Zahlung an.

      • Am 20. Dezember 2016 um 12:02 von Merlin

        In der Technik gibt es immer (Rest)risiken. Wenn Du dies aber so kritisch siehst, frage ich mich wie Du es überhaupt wagen kannst, einen Computer einzuschalten.

        • Am 20. Dezember 2016 um 15:54 von C

          Mit entsprechender Vorbereitung & Verhaltensweise kann man schon in das Haifisch-Becken steigen. (Schwinn mit den Haien, ohne gefressen zu werden)
          Es ist aufwendiger und kostenintensiver, aber nicht unmöglich.

          Dafür muss man natürlich mehr tun – als nur auf Vorgefertigtes anzuklicken. Auch hilft ein Blick auf das Gesamt-Bild (& damit Hintergrund-Kenntnisse), statt auf Marketing-Seiten und Wohl-Fühl-Versprechen. Das erfordert aber einen geschärften Blick, Eigen-Initiative und eigenes Handeln.

  • Am 20. Dezember 2016 um 6:18 von ckOne

    Mann-o-Mann ihr versteht das einfach nicht !
    Bei den vielen Hardwarekombinationen die Apple zu unterstützen hat dauert das eben etwas länger als bei MS, das ja so wenige Hardwarekombis unterstützen muß.
    Außerdem war das Update schon seit 5,5 Monaten fertig, aber man hat noch überlegt, ob man nicht vielleicht doch irgendwie Geld verdienen kann damit. ;)

  • Am 20. Dezember 2016 um 10:45 von Hi, hi...

    …war ja klar! Allein die Apple-User sind grundsätzlich bescheuert, nur die üblichen Verdächtigen haben NATÜRLICH den absoluten Durchblick!
    Seid ihr mal auf die Idee gekommen, dass euer – man kann durchaus sagen – Getrolle langweilt?
    Antworten macht schon eine ganze Weile keinen Spaß mehr und selbst das Lesen wird zusehends anstrengend.

    • Am 20. Dezember 2016 um 12:08 von DoN

      Tja, willkommen in der Welt von Windows und Android Usern. Langweiliges Getrolle von Apple-Usern, Linuxern und sonstigen Exoten. Es steht auch da außer Frage, dass ein Andorid User bewusst sorgfältig mit seinem System umgehen kann, nein er ist ein Vollidiot, der es sich nur nicht leisten kann das ach so tolle iOS zu nutzen und Windowsuser sind sowieso völlig verblödet, und können sich natürlich auch nur nicht die super-duper Applehardware mit dem amazing OSX leisten, die Looser und sind dann logischerweise neidisch auf die Appler und „haten“ dann nur blöd rum.


      Es ist doch so, dass sich (für Appleuser „leider“) es bewahrheitet, dass weder iOS, noch OSX einen Vorteil by Design hätten, dass sobald sich genug darum kümmern die Unzulänglichkeiten die solche Systeme nun mal haben, zu Tage kommen. Und ganz übel für Apple, dass die Probleme die aktuell auftreten, den Mythos Software und Hardware aus einer Hand, auf eine einfache Formel reduzieren. Soft- und Hardware aus einer Hand ist besser – solange es nur ein Gerät ist. Apple schafft es nicht einmal die wirklich überschaubare Zahl an Gerätekonfigurationen sauber zu supporten, aber die Appler hackten immer auf Microsoft und Google herum deren System tausende, hunderttausende Systemkonfigurationen unterstützen müssen.
      Großmut kommt eben vor dem Fall und Apple fällt, noch nicht finanziell (was eben wegen der ganzen Vorkommnisse auf Unverständnis bei nicht Appleusern stößt), aber der Mythos um Apple dem sich die Appleuser gern unterworfen haben zerstört sich gerade selbst.
      Da verstehe ich, wenn das Lesen und Antworten keinen Spaß mehr macht – mangels echter Argumente die man dem noch entgegensetzen könnte. Die Reaktion dies als „Getrolle“ zu werten zeigt schon deutlich worum es geht… Kritik an einer Weltanschauung, einer Einstellung einem „I am part of ..“ Gefühl. Der Lifestyle bröckelt, bedeutet dass sich so mancher User nun persönlich betroffen und kritisiert fühlt, weil der Lifestyle für den er gern so viel Geld ausgegeben hat und dem Konzern die Taschen in obszöner Weise gefüllt hat, sich nun als trügerisch herausstellt.

      • Am 20. Dezember 2016 um 13:29 von Hi, hi...

        …dass jeder Applenutzer merkbefreit ist, ist ausschließlich eine Aussage von Nicht-Apple-Usern.
        Du wirst von mir reichlich Kommentare finden, in denen ich Apple kritisiere, weil eben auch (und gerade in jüngerer Zeit) Apple reichlich Mist anbietet. Was aber von euch hier kommt, ist weit weg von Objektivität oder Toleranz. Wenn irgendein Kommentator auch nur irgendetwas positives über Apple erzählt, ist er verblendet, verblödet oder ein Alias von PeerH. Selbstkritik von Androidikern? Fehlanzeige!

        • Am 20. Dezember 2016 um 18:47 von Tom

          So ist halt deren Weltbild. Deren Ersatzreigion. inge es um Poliik, würde man von Hasspredigern reden.

          • Am 21. Dezember 2016 um 0:13 von Markus Beyerle

            Wie Anstandslos muss man sein um solche Diskussionen mit Hasspredigten, bei denen die Vernichtung ganzer Glaubensgemeinschaften und Völker propagiert wird, in einem Atemzug zu nennen. Igitt.

          • Am 21. Dezember 2016 um 3:51 von C

            Wenn man sachlich falsche Aussagen korrigiert (s. o. @Mac-Harry, Anzahl Fehler im Release) ist man ein Hassprediger?

            Und wenn @DoN noch vornehm zurückhaltend die Situation korrekt analysiert & wieder spiegelt ist er ein Hassprediger?

            Und wenn man 1 Jahr Garantie (bei fest verlöteten Komponenten) für ein 5 T-EUR Notebook kritisiert ist man ein Hassprediger?

            Sorry, aber Du lebst nicht in der Realität. Wenn berechtigte Kritik nicht mehr geäußert werden darf bzw. unterdrückt werden soll…dann stimmt was nicht. Und zwar bei Dir.

        • Am 20. Dezember 2016 um 23:15 von DoN

          Und wo ist die Selbstkritik der Appleuser? Genau, Fehlanzeige.
          Und nein es stimmt einfach nicht dass „Wenn irgendein Kommentator auch nur irgendetwas positives über Apple erzählt, ist er verblendet, verblödet oder ein Alias von PeerH“
          Er ist es dann, wenn er versucht eine für ihn (Kunde) schlechte Sache positiv darzustellen, weil die Apple Inc. einen Vorteil hat. Das ist in der Tat typisch für PeerH und das ist verblödet. „Normal“ Positives, was eben keine Lobhudelei ist, wird auch hier nicht verrissen. Wer aber 50% Margen, und 250Mrd. Barreserven als tolle Sache aus Kundensicht versucht hinzustellen, kann nicht mehr alle Latten am Zaun haben.
          @Tom (na Peer) Ja ne is klar, der 100€ Plastikbomber aus dem Supermarkt ist eine Ersatzreligion und das 1000€ iPhone für das die Leute Schlange stehen ist völlig normal. Und nur Du ganz alleine sprichst von Hass, warum? Fühlst du Deine Religion beleidigt? Tsetsetse

  • Am 20. Dezember 2016 um 15:22 von Judas Ischias

    @Hi, hi…,
    als PeerH hier noch unterwegs war, warst Du aber nicht sooo kritisch, und bei den Geschichten, die hier von wegen sicher bei Apple, von bestimmten Leuten im Umlauf waren, ist es doch absolut kein Wunder, dass das jetzt von einigen Leuten der anderen Fraktionen mit hämischen Kommentaren bedacht wird.
    Du brauchst ja nur mal den Kommentar von Mac-Harry genau zu lesen. Falls es überhaupt der „echte“ Mac-Harry war, aber der Kommentar ist genauso Käse.
    Und dass Apple sich in den letzten Jahren durch solche Sachen selbst demontiert, wollen eine ganze Menge Appler nicht wahrhaben, obwohl dies mittlerweile ja nun wirklich nicht mehr von der Hand zu weisen ist.

    • Am 20. Dezember 2016 um 16:00 von Hi, hi...

      …Du wirst nicht allzuviele Kommentare von mir finden, in denen ich schrieb, dass Apples OS „sicher“ sind, wenn überhaupt „sicherer“ und auch das schon seit bestimmt Jahren nicht. Du wirst auch kaum Kommentare von mir finden, in den ich @PeerH uneingeschränkt zugestimmt hätte.
      Dagegen gibt es mehr als reichlich Kommentare, in denen ein Pro-Apple-User einfach nur aus eben diesem Grund angegriffen (und ganz nebenbei und völlig aus der Luft gegriffen als PeerH bezeichnet) wird.
      Mit nur etwas (nur ganz, ganz wenig) selbstkritischem Blick – und DAS habe ich tatsächlich schon mehrfach behauptet – könntet ihr feststellen, dass ihr schlicht und ergreifend androide PeerH’s seid!
      Aber für Androide ist das selbstverständlich in Ordnung, gelle?!

      • Am 20. Dezember 2016 um 17:46 von Judas Ischias

        @Hi, hi…,
        das weiß ich und so etwas habe ICH auch nie behauptet, dass Du zu den unkritischen Leuten gehörst die hier ohne Ende gepredigt haben wie „sicher“ Apple OS ist.
        Auch hast Du schon mal geschrieben, dass Du PeerH nicht mehr ernst nehmen kannst, aber ich kann mich auch an einen Satz von Dir erinnern, noch gar nicht lange her, der bezüglich PeerH und seine hier verbreiteten Lügen lautete:“So ist er halt, der PeerH.“
        Ich denke, dass ich den Satz nicht nur ziemlich sinngemäß zitiert habe, sondern fast wortwörtlich.

        Das ist jetzt nur meine persönliche Meinung, aber eine klare Aussage ist das nicht, um mal zu vermelden, dass die Lügerei und Halbwahrheiten, die hier jahrelang von PeerH verbreitet wurden, auch bei Dir größtes Missfallen erzeugt haben. Gelle.

        Und dass Du hier kritisierst, dass es Leute gibt die pro Appler völlig aus der Luft gegriffen als PeerH bezeichnet haben, finde ICH sehr witzig, da Du selbst noch nicht mal gemerkt hast, dass Du mit PeerH diskutiert hast, weil dieser mal wieder unter seinen vielen „Namen“ unterwegs war.

        Und wenn antworten schon eine Weile keinen Spaß mehr macht, dann lass es doch einfach oder lese die Kommentare nicht mehr.
        Habe ich die letzten Wochen bei PeerH genauso gemacht, da hab ich auch fast gar nichts mehr gelesen.
        Und ich kann Dir sagen, es ist mir deshalb nicht schlechter gegangen.;)

        • Am 20. Dezember 2016 um 23:57 von AuAuAu

          Oh, ein Erklärbär. Aber irgendwie fehlt der Durchblick? ;)

          • Am 21. Dezember 2016 um 10:26 von Judas Ischias

            Nein, @PeerH,
            der Durchblick fehlt Dir.;)
            Weil Du nämlich „vergessen“ hast, dass Du hier nicht mehr kommentieren willst, und das mit zweimaliger, theatralischer Verabschiedung.
            Na ja, gibt eben Leute, die können nicht aus ihrer Haut. Für die ist das Lobpreisen von Apple und deren Produkten Lebensinhalt.;)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *