Filevault in macOS: Lücke ermöglicht Ausspähen von Passwörtern

(Bild: ZDNet.de)

Eine Sicherheitslücke in der Festplattenverschlüsselung FileVault von MacOS ermöglicht es Angreifern, das Passwort auszuspähen. Apple hat die Lücke, die seit Ende Juli 2016 bekannt ist, mit macOS 10.12.2 geschlossen.

Der schwedische Sicherheitsforscher Ulf Frisk hat eine Schwachstelle in MacOS entdeckt, die die Festplattenverschlüsselung FileVault aushebeln kann. Der Angreifer bekommt das Passwort, mit der das System deaktiviert wird.

Frisk, der sich bescheiden IT-Sicherheits-Handlanger und DMA-Hacker nennt, hat die für den Angriff benötigte Software PCILeech auf GitHub veröffentlicht. Mit dieser unter Windows laufenden Exploit-Software könnte ein jeder, einschließlich der Kollegen, der Polizei oder eines ‚diebischen Zimmermädchens‘ (Evil Maid Attack) vollständigen Zugang zu Mac-Daten erlangen, wie der Sicherheitsforscher in einem Blogeintrag ausführt.

Dazu wird allerdings physischer Zugriff auf den Mac und ein Thunderbolt-Gerät benötigt, dessen Hardware mit einem PCI-Express-Board rund 300 Euro kostet. Dann genügt der Anschluss an einen gesperrten oder in den Schlaf-Modus geschickten Mac-Rechner, um nach einem per Tastenkombination erzwungenen Neustart innerhalb von weniger als 30 Sekunden an das Passwort zu kommen. Um nicht durch diese Angriffsmethode verwundbar zu sein, muss ein Mac vollständig ausgeschaltet werden.

Zwei verschiedene Probleme ermöglichen laut Frisk diese Vorgehensweise. Zum einen schützt sich ein Mac vor dem Start des Betriebssystems nicht gegen DMA-Attacken (Direct Memory Access). Das zu diesem frühen Zeitpunkt laufende EFI erlaubt es bösartigen Geräten aber schon vorher, über Thunderbolt im Speicher zu lesen und zu schreiben. Erst nach seinem Start aktiviert macOS DMA-Schutzvorkehrungen.

Als zweites Problem kommt hinzu, dass das FileVault-Passwort im Klartext im Speicher abgelegt ist und auch nach der Festplattenverschlüsselung nicht automatisch aus dem Speicher gelöscht wird. Nach einem Neustart bleibt ein Zeitfenster von einigen Sekunden offen, um an das Passwort zu kommen, bevor es durch neue Inhalte überschrieben wird.

Der schwedische Sicherheitsforscher kam bei seinen Versuchen erfolgreich an die Passwörter von verschiedenen MacBooks und MacBook-Air-Modellen, die alle mit Thunderbolt 2 ausgestattet waren. Nicht getestet wurden neuere Macs mit einem Anschluss vom Typ USB-C.

Tipp: Wie gut kennst Du Apple? Überprüfe Dein Wissen – mit 15 Fragen auf silicon.de.

Tags :Quellen:Mit Material von Bernd Kling, ZDNet.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising