如果没有这个星期公布的MacOS的更新,苹果的磁盘加密可以很容易地通过连接特制的设备锁定的Macbook击败。
该攻击是可能的,因为在连接Thunderbolt设备可以访问计算机的RAM操作系统通过直接存储器存取(DMA)功能开始之前直接。该DMA机构通常用于通过磁盘驱动器控制器,图形卡,网络卡和声卡,因为通过CPU访问所述存储器,否则保持所述处理器忙和用于其它任务不可用。
苹果公司的MacOS具有DMA保护,但他们只在操作系统运行时一命呜呼。然而,EFI(可扩展固件接口) - 现代BIOS - 在引导过程的早期阶段,初始化Thunderbolt设备,这使他们能够使用DMA操作系统启动之前,安全研究人员乌尔夫·弗里斯克在说博客文章。
第二个问题是,苹果的FileVault 2磁盘加密密码存储在内存中以纯文本如果磁盘已解锁一次。这意味着,当一个Mac有它的屏幕锁定或从睡眠状态恢复,密码仍然会在内存中。
此外,该密码不获取从存储器擦洗在重新启动时,并且仅移动到围绕一个固定的存储器范围内的不同位置,根据弗里斯克。密码从内存中删除唯一的一次,当苹果被关闭,因为当RAM内容被完全清除这。
研究人员创建了运行定制软件的硬件设备,他被称为PCILeech。所述装置能够经由DMA提取FileVault的密码。
“这很容易,只是插上进攻DMA硬件和重启Mac上,”弗里斯克说。“一旦苹果重新启动的DMA保护先前启用的MacOS被丢弃。内存的内容,包括密码,仍然存在,虽然。有几秒钟的时间窗口包含密码的存储与新的内容覆盖之前“。
弗里斯克提出反对八月DEF CON安全会议在Linux,Windows和OS X内核基于DMA的攻击,但他在演讲后发现苹果的磁盘加密的影响。他把自己的发现秘密到现在为止苹果的请求。
研究人员证实,MacOS的塞拉利昂10.12.2更新本周公布修复的安全问题,至少在他的MacBook Air。
“该解决方案苹果公司决定在和铺开是一个完整的,”弗里斯克说。“至少在某种程度上,我已经能够确认,这是不可能再存取存储器之前,MacOS的启动。现在的Mac是与关于这个特定的攻击向量最安全的平台之一。”