FileVault2 Passwort am Mac auslesen – außer in macOS Sierra!

Es sind keine hohen Anforderungen, an denjenigen, der das Passwort am Mac auslesen will. Eine Box für 300€ muss erworben werden und 30 Sekunden Zeit eingeplant werden. Nach einem Neustart kann das Passwort ausgelesen werden. Apple wurde im August über die kritische Sicherheitslücke informiert und hat sie, durch macOS Sierra 10.12.2, vor kurzem geschlossen! Alte Systeme sind nach wie vor gefährdet!

Wie lässt sich das Passwort am Mac so einfach auslesen?

Der Angriff wurde bisher nur gegen MacBooks mit mindestens einem Thunderbolt 2 Anschluss getestet. Der Punkt, an dem ein Angreifer dazwischengrätschen kann, ist der fehlende Schutz gegen DMA-Angriffe (Direct Memory Access). Dadurch ist der direkte Speicherzugriff, nachdem der Rechner neu gestartet ist, möglich.




Ein zweites Problem ist die Speicherung des Passwortes im Klartext. Angreifer können ein kleines Zeitfenster nutzen um das Passwort abzugreifen, bevor es neu beschrieben wird. Um den Angriff am Ende durchzuführen ist der physische Zugriff nötig, ein PCI-Express-Board und ein Thunderbolt-Adapter.

Wie kann man sich schützen? Sind alle Macs betroffen?

Sobald Nicht-ASCII-Zeichen verwendet werden, stößt die Methode an Grenzen. Der Angreifer muss dann nämlich im Memory-Dump manuell nach dem Passwort suchen. Außerdem sind alle Mac User, die bereits die neuste Version von macOS installiert haben, auf der sicheren Seite. Mit Version 10.12.2. wurde die Schwachstelle, wie ca. 70 weitere, geschlossen. Ältere Macs sind noch weiterhin über diese Schwachstelle verwundbar.

Das FileVault2 Passwort am Mac auslesen? Meine Meinung!

Siri und die anderen Features haben mich nicht überzeugt auf macOS Sierra zu aktualisieren. Die Beseitigung von über 70 Sicherheitslücken, die wohl teilweise so kritisch waren wie diese, sind aber ein Argument. Das Angriffsszenario ist jedoch ein sehr spezielles. Nicht jeder fürchtet die Bedrohung eines physischen Angriffs.

Um sich aber zu schützen, hilft ein Firmware-Passwort. In Kombination mit aktuellster Software ist man somit auf der sicheren Seite. Ein Betriebssystem Update macht also durchaus Sinn!

Weitere Informationen und Quellen

[1] macOS FileVault2 Password Retrieval (blog.friz.net)
[2]
 Mac-Passwort lässt sich über Thunderbolt auslesen (heise)

Schreibe einen Kommentar