Новое устройство позволяет обойти шифрование FileVault 2 за 30 секунд

Компьютеры Mac принято считать более надежными по сравнению с устройствами под управлением Windows, однако шведский исследователь Ульф Фриск (Ulf Frisk) продемонстрировал, что полный контроль над Mac или MacBook можно получить всего за полминуты. Для этого потребуется прибор за $300 и программное обеспечение с открытым исходным кодом.

Фриск разработал новое устройство под названием PCILeech, способное обойти шифрование FileVault 2, использующееся устройствами Apple, и за 30 секунд похитить пароль практически любого ноутбука Mac, даже если он заблокирован или находится в спящем режиме. Таким образом, злоумышленники могут разблокировать любой компьютер Mac и даже расшифровать файлы на его жестком диске.

Разработанная исследователем техника эксплуатирует две уязвимости в имплементации FileVault 2, обнаруженные Фриском летом 2016 года. Как пояснил эксперт, система Mac не защищена от DMA (Direct Memory Access)-атак. Пока macOS не запустилась, EFI (Extensible Firmware Interface) допускает подключение устройств с поддержкой Thunderbolt и позволяет им чтение памяти и запись в нее. Кроме того, пароль от FileVault хранится в памяти в виде простого текста.

Сама атака довольно проста: необходимо всего лишь подключить модифицированное Thunderbolt-устройство к Mac, принудительно перезагрузить его и дождаться извлечения пароля. Исследователь опубликовал PoC-эксплоит для атаки на портале GitHub.

В августе нынешнего года Фриск проинформировал Apple о выявленных уязвимостях. 13 декабря компания выпустила обновление macOS 10.12.2, устраняющее данные проблемы.