Шведський дослідник і пентестер Ульф Фриск розробив прилад PCILeech, який дозволяє легко обійти шифрування FileVault 2, використовується пристроями Apple. Ціна пристрою – $300 плюс відкрите ПЗ.

Фриск пише, що влітку 2016 року він виявив дві вразливості в імплементації FileVault2, використовуваної Apple. Ці баги дозволяють атакуючому отримати пароль жертви (у вигляді простого тексту), причому витягти його можна навіть з заблокованого або «сплячого» Mac. Сама атака дуже проста: потрібно лише підключити кастомный Thunderbolt-девайс до Mac, примусово перезавантажити пристрій (ctrl+cmd+power) і дочекатися отримання пароля, яке займе близько 30 секунд.

Вище можна побачити процес на відео. Як зазначив дослідник, процедура складається з двох частин: по-перше, пристрої Apple не захищені від Direct Memory Access-DMA) атак. Поки macOS ще не запустилася, EFI допускає підключення шкідливих Thunderbolt-пристроїв і дозволяє їм читання пам’яті і запис в неї. Як тільки macOS запускається, захист від DMA включається за замовчуванням. По-друге, пароль від FileVault зберігається в пам’яті у вигляді простого тексту і не вичищається звідти, після того як диск був розблокований. Пароль до пам’яті змінює розташування, але в межах фіксованого діапазону.

GitHub опубліковано опис та інструкції по створенню приладу. Також дослідник зв’язався з розробниками Apple ще в серпні 2016 року, проте на створення патча у компанії пішло кілька місяців. Виправлення було представлено 13 грудня 2016 року, у складі macOS 10.12.2.

Якщо ви знайшли помилку, будь ласка, виділіть фрагмент тексту і натисніть Ctrl + Enter .