Eine Sicherheitslücke erlaubt, das Passwort von Macs auszulesen, die mit der Festplattenverschlüsselung FileVault gesichert sind. Das hat der schwedische Sicherheitsforscher Ulf Frisk anschaulich demonstriert, der die Schwachstelle Ende Juli entdeckte und bereits Mitte August Apple unterrichtete. Beseitigt wurde die Schwachstelle jedoch erst in diesem Monat mit macOS 10.12.2. Mit dieser Version stopfte Apple insgesamt 72 zum Teil schwerwiegende Sicherheitslöcher, was ein Update von Mac-Rechnern dringend nahelegt. Nicht aktualisierte Rechner bleiben weiterhin für den beschriebenen Angriff anfällig.
Frisk, der sich bescheiden IT-Sicherheits-Handlanger und DMA-Hacker nennt, hat die für den Angriff benötigte Software PCILeech auf GitHub veröffentlicht. Mit dieser unter Windows laufenden Exploit-Software könnte ein jeder, einschließlich der Kollegen, der Polizei oder eines ‚diebischen Zimmermädchens‘ (Evil Maid Attack) vollständigen Zugang zu Mac-Daten erlangen, wie der Sicherheitsforscher in einem Blogeintrag ausführt.
Dazu wird allerdings physischer Zugriff auf den Mac und ein Thunderbolt-Gerät benötigt, dessen Hardware mit einem PCI-Express-Board rund 300 Euro kostet. Dann genügt der Anschluss an einen gesperrten oder in den Schlaf-Modus geschickten Mac-Rechner, um nach einem per Tastenkombination erzwungenen Neustart innerhalb von weniger als 30 Sekunden an das Passwort zu kommen. Um nicht durch diese Angriffsmethode verwundbar zu sein, muss ein Mac vollständig ausgeschaltet werden.
Zwei verschiedene Probleme ermöglichen laut Frisk diese Vorgehensweise. Zum einen schützt sich ein Mac vor dem Start des Betriebssystems nicht gegen DMA-Attacken (Direct Memory Access). Das zu diesem frühen Zeitpunkt laufende EFI erlaubt es bösartigen Geräten aber schon vorher, über Thunderbolt im Speicher zu lesen und zu schreiben. Erst nach seinem Start aktiviert macOS DMA-Schutzvorkehrungen.
Als zweites Problem kommt hinzu, dass das FileVault-Passwort im Klartext im Speicher abgelegt ist und auch nach der Festplattenverschlüsselung nicht automatisch aus dem Speicher gelöscht wird. Nach einem Neustart bleibt ein Zeitfenster von einigen Sekunden offen, um an das Passwort zu kommen, bevor es durch neue Inhalte überschrieben wird.
Der schwedische Sicherheitsforscher kam bei seinen Versuchen erfolgreich an die Passwörter von verschiedenen MacBooks und MacBook-Air-Modellen, die alle mit Thunderbolt 2 ausgestattet waren. Nicht getestet wurden neuere Macs mit einem Anschluss vom Typ USB-C.
Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…
