ifun.de — Apple News seit 2001. 34 958 Artikel

Verschlüsselte Festplatten

macOS: FileVault 2-Passwort lässt sich über Thunderbolt auslesen

13 Kommentare 13

Solltet ihr noch auf der Suche nach guten Gründen für die schnellstmögliche Installation der macOS-Aktualisierung auf Version 10.12.2 sein, dann scheut euch diesen Blogeintrag des schwedischen Security-Experten Ulf Frisk an.

Filevault

Der Hacker, der bereits zur letzten DefCon-Konferenz einen Vortrag über direkte Arbeitsspeicher-Angriffe gehalten hat, demonstriert jetzt im Video, wie leicht sich die Passwörter der Apple-eigenen Festplattenverschlüsselung FileVault 2 auslesen lassen.

Die einzigen Voraussetzungen: Ein etwa $300 teurer Thunderbolt-Adapter und ein schlafendes bzw. gesperrtes MacBook mit aktiver FileVault-Verschlüsselung. Frisk unterstreicht: So lange der Rechner nicht komplett heruntergefahren wurde, lässt sich nun das aktive Passwort aus dem Geräte-Speicher auslesen, anzeigen und zum Login in den eigentlich geschützten Mac benutzen.

Just stroll up to a locked mac, plug in the Thunderbolt device, force a reboot (ctrl+cmd+power) and wait for the password to be displayed in less than 30 seconds! […] The first issue is that the mac does not protect itself against Direct Memory Access (DMA) attacks before macOS is started. EFI which is running at this early stage enables Thunderbolt allowing malicious devices to read and write memory. At this stage macOS is not yet started. macOS resides on the encrypted disk – which must be unlocked before it can be started. Once macOS is started it will enable DMA protections by default.

Frisk, der seinen Angriff in diesem Youtube-Video demonstriert, hat das Kommandozeilen-Programm PCILeech geschrieben, mit dem sich der Angriff unter Zuhilfenahme des entsprechenden Thunderbolt-Adapters reproduzieren lässt, und bietet den Code hier zum Download an.

Natürlich wurde auch Apple über die Schwachstelle der hauseigenen Festplattenverschlüsselung informiert. Frisk erläutert:

  • Ende Juli: Schachstelle gefunden
  • 5. August: Präsentation von PCILeech auf der DefCon 24
  • 15. August: Apple in Kenntnis gesetzt.
  • 16. August: Apple bestätigt das Problem, erbittet zusätzliche Zeit zum Reagieren
  • 13. Dezember: Apple veröffentlicht macOS 10.12.2 um die Lücke zu schließen

The solution Apple decided upon and rolled out is a complete one. At least to the extent that I have been able to confirm. It is no longer possible to access memory prior to macOS boot. The mac is now one of the most secure platforms with regards to this specific attack vector.

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
16. Dez 2016 um 15:56 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    13 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
    Abonnieren
    Benachrichtige mich bei
    13 Comments
    Älteste Kommentare
    Neuste Kommentare Meiste Stimmen
    Inline Feedbacks
    View all comments
    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 34958 Artikel in den vergangenen 7712 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2022 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven