Eine Sicherheitslücke erlaubt, das Passwort von Macs auszulesen, die mit der Festplattenverschlüsselung FileVault gesichert sind. Das hat der schwedische Sicherheitsforscher Ulf Frisk anschaulich demonstriert, der die Schwachstelle Ende Juli entdeckte und bereits Mitte August Apple unterrichtete. Beseitigt wurde die Schwachstelle jedoch erst in diesem Monat mit macOS 10.12.2. Mit dieser Version stopfte Apple insgesamt 72 zum Teil schwerwiegende Sicherheitslöcher, was ein Update von Mac-Rechnern dringend nahelegt. Nicht aktualisierte Rechner bleiben weiterhin für den beschriebenen Angriff anfällig.
Frisk, der sich bescheiden IT-Sicherheits-Handlanger und DMA-Hacker nennt, hat die für den Angriff benötigte Software PCILeech auf GitHub veröffentlicht. Mit dieser unter Windows laufenden Exploit-Software könnte ein jeder, einschließlich der Kollegen, der Polizei oder eines ‚diebischen Zimmermädchens‘ (Evil Maid Attack) vollständigen Zugang zu Mac-Daten erlangen, wie der Sicherheitsforscher in einem Blogeintrag ausführt.
Dazu wird allerdings physischer Zugriff auf den Mac und ein Thunderbolt-Gerät benötigt, dessen Hardware mit einem PCI-Express-Board rund 300 Euro kostet. Dann genügt der Anschluss an einen gesperrten oder in den Schlaf-Modus geschickten Mac-Rechner, um nach einem per Tastenkombination erzwungenen Neustart innerhalb von weniger als 30 Sekunden an das Passwort zu kommen. Um nicht durch diese Angriffsmethode verwundbar zu sein, muss ein Mac vollständig ausgeschaltet werden.
Zwei verschiedene Probleme ermöglichen laut Frisk diese Vorgehensweise. Zum einen schützt sich ein Mac vor dem Start des Betriebssystems nicht gegen DMA-Attacken (Direct Memory Access). Das zu diesem frühen Zeitpunkt laufende EFI erlaubt es bösartigen Geräten aber schon vorher, über Thunderbolt im Speicher zu lesen und zu schreiben. Erst nach seinem Start aktiviert macOS DMA-Schutzvorkehrungen.
Als zweites Problem kommt hinzu, dass das FileVault-Passwort im Klartext im Speicher abgelegt ist und auch nach der Festplattenverschlüsselung nicht automatisch aus dem Speicher gelöscht wird. Nach einem Neustart bleibt ein Zeitfenster von einigen Sekunden offen, um an das Passwort zu kommen, bevor es durch neue Inhalte überschrieben wird.
Der schwedische Sicherheitsforscher kam bei seinen Versuchen erfolgreich an die Passwörter von verschiedenen MacBooks und MacBook-Air-Modellen, die alle mit Thunderbolt 2 ausgestattet waren. Nicht getestet wurden neuere Macs mit einem Anschluss vom Typ USB-C.
Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Von ihr geht ein hohes Risiko aus. Angreifbar sind Chrome für Windows, macOS und Linux.
Forschende des KIT haben ein Modell zur Emotionsanalyse entwickelt, das affektive Zustände ähnlich genau wie…
Sie decken die Identität des Kopfs der Gruppe auf. Britische Behörden fahnden mit einem Foto…
Er treibt das neue iPad Pro mit OLED-Display an. Apple verspricht eine deutliche Leistungssteigerung gegenüber…
Davon entfällt ein Viertel auf staatliche Einrichtungen und 12 Prozent auf Industrieunternehmen.
Forscher umgehen die Verschlüsselung und erhalten Zugriff auf VPN-Datenverkehr im Klartext. Für ihren Angriff benötigen…
