Eine Sicherheitslücke erlaubt, das Passwort von Macs auszulesen, die mit der Festplattenverschlüsselung FileVault gesichert sind. Das hat der schwedische Sicherheitsforscher Ulf Frisk anschaulich demonstriert, der die Schwachstelle Ende Juli entdeckte und bereits Mitte August Apple unterrichtete. Beseitigt wurde die Schwachstelle jedoch erst in diesem Monat mit macOS 10.12.2. Mit dieser Version stopfte Apple insgesamt 72 zum Teil schwerwiegende Sicherheitslöcher, was ein Update von Mac-Rechnern dringend nahelegt. Nicht aktualisierte Rechner bleiben weiterhin für den beschriebenen Angriff anfällig.
Frisk, der sich bescheiden IT-Sicherheits-Handlanger und DMA-Hacker nennt, hat die für den Angriff benötigte Software PCILeech auf GitHub veröffentlicht. Mit dieser unter Windows laufenden Exploit-Software könnte ein jeder, einschließlich der Kollegen, der Polizei oder eines ‚diebischen Zimmermädchens‘ (Evil Maid Attack) vollständigen Zugang zu Mac-Daten erlangen, wie der Sicherheitsforscher in einem Blogeintrag ausführt.
Dazu wird allerdings physischer Zugriff auf den Mac und ein Thunderbolt-Gerät benötigt, dessen Hardware mit einem PCI-Express-Board rund 300 Euro kostet. Dann genügt der Anschluss an einen gesperrten oder in den Schlaf-Modus geschickten Mac-Rechner, um nach einem per Tastenkombination erzwungenen Neustart innerhalb von weniger als 30 Sekunden an das Passwort zu kommen. Um nicht durch diese Angriffsmethode verwundbar zu sein, muss ein Mac vollständig ausgeschaltet werden.
Zwei verschiedene Probleme ermöglichen laut Frisk diese Vorgehensweise. Zum einen schützt sich ein Mac vor dem Start des Betriebssystems nicht gegen DMA-Attacken (Direct Memory Access). Das zu diesem frühen Zeitpunkt laufende EFI erlaubt es bösartigen Geräten aber schon vorher, über Thunderbolt im Speicher zu lesen und zu schreiben. Erst nach seinem Start aktiviert macOS DMA-Schutzvorkehrungen.
Als zweites Problem kommt hinzu, dass das FileVault-Passwort im Klartext im Speicher abgelegt ist und auch nach der Festplattenverschlüsselung nicht automatisch aus dem Speicher gelöscht wird. Nach einem Neustart bleibt ein Zeitfenster von einigen Sekunden offen, um an das Passwort zu kommen, bevor es durch neue Inhalte überschrieben wird.
Der schwedische Sicherheitsforscher kam bei seinen Versuchen erfolgreich an die Passwörter von verschiedenen MacBooks und MacBook-Air-Modellen, die alle mit Thunderbolt 2 ausgestattet waren. Nicht getestet wurden neuere Macs mit einem Anschluss vom Typ USB-C.
Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
