{"id":101665,"date":"2016-12-16T15:56:18","date_gmt":"2016-12-16T14:56:18","guid":{"rendered":"https:\/\/www.ifun.de\/?p=101665"},"modified":"2016-12-16T15:56:28","modified_gmt":"2016-12-16T14:56:28","slug":"macos-filevault-2-passwort-laesst-sich-ueber-thunderbolt-auslesen","status":"publish","type":"post","link":"https:\/\/www.ifun.de\/macos-filevault-2-passwort-laesst-sich-ueber-thunderbolt-auslesen-101665\/","title":{"rendered":"macOS: FileVault 2-Passwort l\u00e4sst sich \u00fcber Thunderbolt auslesen"},"content":{"rendered":"

Solltet ihr noch auf der Suche nach guten Gr\u00fcnden f\u00fcr die schnellstm\u00f6gliche Installation der macOS-Aktualisierung auf Version 10.12.2 sein, dann scheut euch diesen<\/a> Blogeintrag des schwedischen Security-Experten Ulf Frisk<\/a> an.<\/p>\n

\"Filevault\"<\/a><\/p>\n

Der Hacker, der bereits zur letzten DefCon-Konferenz einen Vortrag<\/a> \u00fcber direkte Arbeitsspeicher-Angriffe gehalten hat, demonstriert jetzt im Video, wie leicht sich die Passw\u00f6rter der Apple-eigenen Festplattenverschl\u00fcsselung FileVault 2 auslesen lassen.<\/p>\n

Die einzigen Voraussetzungen: Ein etwa $300 teurer Thunderbolt-Adapter und ein schlafendes bzw. gesperrtes MacBook mit aktiver FileVault-Verschl\u00fcsselung. Frisk unterstreicht: So lange der Rechner nicht komplett heruntergefahren wurde, l\u00e4sst sich nun das aktive Passwort aus dem Ger\u00e4te-Speicher auslesen, anzeigen und zum Login in den eigentlich gesch\u00fctzten Mac benutzen.<\/p>\n

Just stroll up to a locked mac, plug in the Thunderbolt device, force a reboot (ctrl+cmd+power) and wait for the password to be displayed in less than 30 seconds! […] The first issue is that the mac does not protect itself against Direct Memory Access (DMA) attacks before macOS is started. EFI which is running at this early stage enables Thunderbolt allowing malicious devices to read and write memory. At this stage macOS is not yet started. macOS resides on the encrypted disk – which must be unlocked before it can be started. Once macOS is started it will enable DMA protections by default.<\/p><\/blockquote>\n

Frisk, der seinen Angriff in diesem<\/a> Youtube-Video demonstriert, hat das Kommandozeilen-Programm PCILeech geschrieben, mit dem sich der Angriff unter Zuhilfenahme des entsprechenden Thunderbolt-Adapters reproduzieren l\u00e4sst, und bietet den Code hier zum Download<\/a> an.<\/p>\n

Nat\u00fcrlich wurde auch Apple \u00fcber die Schwachstelle der hauseigenen Festplattenverschl\u00fcsselung informiert. Frisk erl\u00e4utert:<\/p>\n