Szwedzki naukowiec Ulf Frisk stworzył urządzenie, za pomocą którego można obejść szyfrowanie FileVault 2 na komputerach MacBook. Ekspert przedstawił zasadę działania urządzenia, do stworzenia którego, jego zdaniem, potrzebne jest tylko 300 dolarów.
Latem 2016 roku Frisk odkrył dwie luki w zabezpieczeniu FileVault2 używanej przez firmę Apple. Te luki pozwalają napastnikowi uzyskać hasło ofiary (w postaci zwykłego tekstu), przy czym wyjąć je można nawet z zablokowanego MacBook’a lub znajdującego się w trybie uśpienia. Sam atak jest przeprowadzany bardzo prosto: wystarczy podłączyć pod Thunderbolt urządzenie do laptopa MacBook, a następnie wymusić ponowne uruchomienie komputera kombinacją klawiszy Ctrl + Cmd + Power i poczekać na wyciągnięcie przez sprzęt hasła, co może potrwać w najgorszym wypadku około 30 sekund.
Problem, jak pisze Haker, dzieli się na dwie części. Po pierwsze, urządzenia Apple’a nie są chronione przed atakami typu Direct Memory Access (DMA). Gdy macOS jeszcze się uruchamia, EFI umożliwia połączenie deszyfrującego urządzenia z MacBookiem i pozwala na odczyt pamięci laptopa. Jak tylko macOS uruchomi się, ochrona przed DMA jest włączone domyślnie. Po drugie, hasło od FileVault jest przechowywane w pamięci w postaci zwykłego tekstu. Co gorsza, nie jest usuwane stamtąd, po tym jak dysk zostanie odblokowany. Hasło w pamięci zmienia położenie, ale w granicach ustalonego zakresu.
W rezultacie badacz wykorzystał atak DMA. Jak tylko urządzenie uruchomi się ponownie, ochrona przed DMA przestaje działać, a to znaczy, że do zawartości pamięci można dostać się bez większych problemów.
Napisany do ataków soft Frisk opublikował na GitHub. Można tam znaleźć szczegółowe instrukcje dotyczące utworzenia deszyfrującego i jego firmware. Podatne na ataki są laptopy Apple’a wyposażone w porty Thunderbolt 2, w nowszych modelach komputerów z portami USB-C testy nie były jeszcze prowadzone.
Badacz skontaktował się z producentem jeszcze w sierpniu 2016 roku, jednak na stworzenie odpowiedniej aktualizacji firma potrzebowała kilku miesięcy. Poprawka została udostępniona 13 grudnia 2016 r., w postaci macOS 10.12.2.
Dołącz do nas na Facebook’u, aby być na bieżąco z najnowszymi wiadomościami ze świata Apple’a oraz móc podzielić się z nami swoją opinią w komentarzu.
