Šifrování souborů na disku v MacOS lze snadno obejít

Speciálně přizpůsobené zařízení s rozhraním Thunderbolt lze využít k získání hesel z uzamčených počítačů Mac.

Šifrování souborů na disku v MacOS lze snadno obejít


Šifrování disku v počítačích Apple s neaktualizovaným operačním systémem lze snadno prolomit připojením speciálně upraveného zařízení k zamčenému počítači.

Útok je možný proto, že zařízení připojená prostřednictvím rozhraní Thunderbolt mohou přistupovat k operační paměti přímo pomocí funkce DMA dříve, než se spustí operační systém. Mechanismus DMA typicky využívají řadiče disků, grafické, síťové a zvykové karty, protože přístup k paměti prostřednictvím procesoru by jej vytěžoval a blokoval využití pro jiné úlohy.

V operačním systému Apple MacOS existují ochrany DMA, ale ty fungují pouze když operační systém běží. Rozhraní EFI inicializuje zařízení Thunderbolt v raných fázích zaváděcího procesu a umožňuje jim využít DMA, než se spustí OS.

Druhý problém je, že heslo pro šifrování disku FileVault 2 je uložené v paměti jako prostý text, pokud byl disk jednou odemčen. To znamená, že při uzamčení obrazovky nebo probuzení z režimu spánku je heslo stále v paměti.

Při restartu navíc není heslo z paměti odstraněno, ale pouze přesunuto do pevného paměťového rozsahu. K jeho odstranění dojde pouze při úplném vypnutí, kdy je obsah RAM zcela vymazán.

Čerstvě vydaná aktualizace MacOS Sierra 10.12.2 tuto zranitelnost zcela odstraňuje, prokazatelně alespoň na zařízení MacBook Air. K operační paměti nyní není možný přístup dříve, než se spustí operační systém.


Úvodní foto: Alex - Fotolia.com




Komentáře