Apple的麦克斯文件加密容易绕过,而无需最新修复
如果没有本周发布的MacOS更新,Apple“S的磁盘加密就可以通过将特制设备连接到锁定的MacBook来轻松击败。
攻击是可能的,因为通过直接内存访问(DMA)功能启动OS之前,通过Thunderbolt连接的设备可以直接访问计算机的RAM。DMA机制通常由磁盘驱动器控制器,图形卡,网卡和声卡使用,因为通过CPU访问内存将使处理器忙碌,不可用其他任务。
Apple的MacoS具有DMA保护,但它们仅在操作系统运行时启动。然而,EFI(可扩展固件界面) - 现代化BIOS - 在启动过程的早期阶段初始化Thunderbolt设备,这使得它们能够在操作系统启动之前使用DMA,安全研究员ULF在博客文章中表示。
第二个问题是,如果磁盘已解锁一次,则Apple FileVault 2磁盘加密的密码以纯文本存储在内存中。这意味着当Mac有其屏幕锁定或从睡眠状态返回时,密码仍将在内存中。
此外,根据RSISK的情况,密码不会从内存中擦除从内存中擦除到固定内存范围内的不同位置。密码从内存中删除的唯一时间是当MAC关闭时,因为当RAM内容完全清除时,“■”。
研究人员创建了一个运行他称之为Pcileech的自定义软件的硬件设备。该设备能够通过DMA提取FileVault密码。
“这使得只需插入DMA攻击硬件并重新启动Mac,”Frisk说。“一旦MAC重新启动,DMA保护才会删除先前启用的MACOS。但是,包括密码的内存内容仍然存在。在包含密码的内存被覆盖的内容之前有几秒钟的时间窗口。“
Arisk于8月在Def Con安全会议上展示了基于DMA,Windows和OS X内核的基于DMA的攻击,但他发现了在演示后对Apple磁盘加密的影响。他将他的发现秘密秘密,直到现在Apple的请求。
研究人员确认,本周发布的MacOS Sierra 10.12.2更新解决了安全问题,至少在他的MacBook Air上。
“苹果公司决定并推出的解决方案是一个完整的,”弗里斯说。“至少在我能够确认的程度上。在麦底启动之前,不再可以访问内存。MAC现在是该特定攻击载体的最安全的平台之一。“
