| 19 декабря 2016 г. — 4:16 PT
Исследователь безопасности Ульф Фриск поделился подробностями о уязвимости в macOS 10.12.1 и более ранних версиях, которая позволяла любому, кто имел физический доступ к заблокированному Mac, быстро и легко получить пароль, просто подключив устройство Thunderbolt стоимостью 300 долларов.
Любой, включая, но не ограничиваясь, ваших коллег, полицию, злую горничную и вора, будет иметь полный доступ к вашим данным, пока они могут получить физический доступ – если только Mac не выключен полностью. Если Mac находится в спящем режиме, он все равно уязвим.
Просто подойдите к заблокированному Mac, подключите устройство Thunderbolt, принудительно перезагрузите его (Ctrl+Cmd+Power) и подождите, пока пароль не отобразится менее чем за 30 секунд!
Фриск уведомил Apple еще в августе, когда компания подтвердила проблему и попросила его не раскрывать детали до исправления. Он сообщает, что уязвимость больше не присутствует в macOS 10.12.2, и теперь он объяснил, как именно она работала.
Первая проблема заключается в том, что Mac не защищает себя от атак прямого доступа к памяти (DMA) до запуска macOS. EFI, который работает на ранней стадии, включает Thunderbolt, позволяя вредоносным устройствам читать и записывать память. На этом этапе macOS еще не запущена. macOS находится на зашифрованном диске – который должен быть разблокирован, прежде чем он сможет быть запущен. Как только macOS запущена, она по умолчанию включает защиту DMA.
Вторая проблема заключается в том, что пароль FileVault хранится в памяти в открытом виде, и он не стирается автоматически из памяти после разблокировки диска. Пароль помещается в несколько мест памяти – все они, похоже, перемещаются между перезагрузками, но в пределах фиксированного диапазона памяти.
Перезагрузка отключает защиту DMA, но пароль все еще присутствует в памяти в течение нескольких секунд – этого достаточно, чтобы устройство нашло и получило его. Посмотрите видео ниже, чтобы увидеть это в действии.