Устройство за $300 позволяет похитить пароли от Mac за считанные секунды [видео]

Шведский исследователь и пентестер Ульф Фриск создал прибор, при помощи которого можно обойти шифрование FileVault 2 на компьютерах Mac. Эксперт подробно рассказал принцип работы устройства, для создания которого, по его словам, понадобится всего 300 долларов.

Летом 2016 года Фриск обнаружил две уязвимости в имплементации FileVault2, используемой Apple. Эти бреши безопасности позволяют атакующему получить пароль жертвы (в виде простого текста), причем извлечь его можно даже с заблокированного или Mac, находящегося в спящем режиме. Сама атака очень проста: нужно лишь подключить кастомное Thunderbolt-устройство к Mac, принудительно перезагрузить компьютер Ctrl + Cmd + Power и дождаться извлечения пароля, которое займет около 30 секунд.

Проблема, как пишет Хакер, делится на две части. Во-первых, устройства Apple не защищены от атак типа Direct Memory Access (DMA). Пока macOS еще не запустилась, EFI допускает подключение вредоносных Thunderbolt-устройств и позволяет им чтение памяти и запись в нее. Как только macOS запускается, защита от DMA включается по умолчанию. Во-вторых, пароль от FileVault хранится в памяти в виде простого текста. Хуже того, он не вычищается оттуда, после того как диск был разблокирован. Пароль в памяти меняет расположение, но в пределах фиксированного диапазона.

В результате исследователь реализовал DMA-атаку: как только устройство перезагружается, защита от DMA перестает работать, а значит, до содержимого памяти можно добраться без особенных проблем.

Написанный для атак софт Фриск уже опубликовал на GitHub. Там же можно найти подробные инструкции по созданию вредоносного Thunderbolt-прибора и его прошивке. Уязвимости точно подвержены ноутбуки Apple, оснащенные Thunderbolt 2, на более новых моделях с портами USB-C тесты не проводились.

Исследователь связался с разработчиками Apple еще в августе 2016 года, однако на создание патча у компании ушло несколько месяцев. Исправление было представлено 13 декабря 2016 года, в составе macOS 10.12.2.