Erst kürzlich ist macOS 10.12.2 erschienen und wie üblich sträubt sich der ein oder andere Nutzer davor, jetzt schon das Update durchzuführen. Es könnten noch zu viele Fehler drin sein und und und. Meist ist dieser Einwand berechtigt, denn gerade in den vergangenem Jahr hat Apple sich bei Updates für seine Betriebssysteme nicht immer mit Ruhm bekleckert. Doch in diesem Fall solltet ihr die Aktualisierung besser durchführen, denn eine kritische Thunderbolt Sicherheitslücke wird behoben.
Der Sicherheitsexperte Ulf Frisk hat Details zu der Lücke in macOS 10.12.1 bekanntgegeben. Es ist mit dieser Betriebssystemversion noch möglich das Passwort des Macs oder MacBooks ganz einfach von dem betreffenden Gerät zu ziehen, wenn man ein 300 US Dollar teures Thunderbolt Gerät anstöpselt. Das gilt selbst dann, wenn der Mac im Schlafmodus ist.
Anyone including, but not limited to, your colleagues, the police, the evil maid and the thief will have full access to your data as long as they can gain physical access – unless the Mac is completely shut down. If the Mac is sleeping, it is still vulnerable.
Just stroll up to a locked mac, plug in the Thunderbolt device, force a reboot (ctrl+cmd+power) and wait for the password to be displayed in less than 30 seconds!
Frisk hat Apple diesbezüglich bereits im August in Kenntnis gesetzt. Daraufhin hat sich der Hersteller aufgemacht die Lücke in macOS 10.12.2 zu schließen und bat den Experten die Informationen bis dahin zurückzuhalten. Nun kann Frisk aber erläutern, warum es so einfach ist:
The first issue is that the mac does not protect itself against Direct Memory Access (DMA) attacks before macOS is started. EFI which is running at this early stage enables Thunderbolt allowing malicious devices to read and write memory. At this stage macOS is not yet started. macOS resides on the encrypted disk – which must be unlocked before it can be started. Once macOS is started it will enable DMA protections by default.
The second issue is that the the FileVault password is stored in clear text in memory and that it’s not automatically scrubbed from memory once the disk is unlocked. The password is put in multiple memory locations – which all seems to move around between reboots, but within a fixed memory range.
Ein Neustart hebt also die DMA Sicherheitsbeschränkung auf und macht das Passwort für ein paar Sekunden im Speicher sichtbar. Das Thunderbolt Gerät ist aus diesem Grund in der Lage das Kennwort direkt von dort abzugreifen! So sieht das im Video aus:
- Huawei MediaPad M3 Lite – Mittelklasse Tablet ausprobiert - 6. November 2017
- Google Assistant für iOS unterstützt jetzt Apple Music - 30. Oktober 2017
- iTunes Karten – 15% Bonusguthaben bei Müller - 30. Oktober 2017