Не оставляете свой Mac в режиме сна

Устройство, названное PCILeech ценой всего в 300 долларов, позволило шведскому хакеру Ульфу Фриску разблокировать и расшифровать файлы, хранящиеся на компьютере Mac, просто подключившись по интерфейсу Thunderbolt.

В опубликованном им ролике Фриск говорит: «Просто подключаетесь к заблокированному Mac, вставив Thunderbolt устройство, принудительно перезагрузитесь (ctrl+cmd+power) и ждите, как менее чем за 30 секунд пароль появится на экране!».

PCILeech

На то, почему так происходит, есть две причины.

Во-первых, Mac не защищает себя от атак при прямом доступе к памяти DMA до запуска MacOS. На ранних этапах EFI активирует Thunderbolt, что позволяет вредоносным устройствам прочитать и записать память. Защита DMA включена в MacOS по умолчанию, однако её необходимо отключить перед стартом.

Вторая проблема кроется в том, что пароль FileVault сохранён в памяти простым текстом и он не очищается автоматически, в случае разблокировки диска. Он перемещается при перезапуске, однако внутри фиксированного диапазона памяти, делая цель более доступной.

macOS FileVault2 Password Retrieval
macOS FileVault2 Password Retrieval

После демонстрации уязвимости Фриск отметил, что Apple выпустила обновление безопасности 10.12.12, которое успешно патчит данный способ обхода. Так что, если вы ещё не обнови свою MacOS, вам непременно стоит это сделать.