Шведский исследователь и пентестер Ульф Фриск разработал прибор PCILeech, который позволяет легко обойти шифрование FileVault 2, использующееся устройствами Apple. Цена прибора – $300 плюс открытое ПО.

Фриск пишет, что летом 2016 года он обнаружил две уязвимости в имплементации FileVault2, используемой Apple. Эти баги позволяют атакующему получить пароль жертвы (в виде простого текста), причем извлечь его можно даже с заблокированного или «спящего» Mac. Сама атака очень проста: нужно лишь подключить кастомный Thunderbolt-девайс к Mac, принудительно перезагрузить устройство (ctrl+cmd+power) и дождаться извлечения пароля, которое займет около 30 секунд.

Выше можно увидеть процесс на видео. Как отметил исследователь, процедура состоит из двух частей: во-первых, устройства Apple не защищены от Direct Memory Access (DMA) атак. Пока macOS еще не запустилась, EFI допускает подключение вредоносных Thunderbolt-устройств и позволяет им чтение памяти и запись в нее. Как только macOS запускается, защита от DMA включается по умолчанию. Во-вторых, пароль от FileVault хранится в памяти в виде простого текста и не вычищается оттуда, после того как диск был разблокирован. Пароль в памяти меняет расположение, но в пределах фиксированного диапазона.

На GitHub опубликовано описание и инструкции по созданию прибора. Также исследователь связался с разработчиками Apple еще в августе 2016 года, однако на создание патча у компании ушло несколько месяцев. Исправление было представлено 13 декабря 2016 года, в составе macOS 10.12.2.