Schon im Juli hatte Ulf Frisk bei der DEF CON 24 eine Methode vorgestellt, wie man das Filevault-Passwort eines gesperrten Macbooks auslesen kann. Nachdem Apple mit 10.2.2 diese Sicherheitslücke geschlossen hat, hat der Sicherheitsspezialist die Methode nun offengelegt . Man muss nur ein spezielles Thunderbolt-Gerät anschließen, das Macbook neu booten und eine halbe oder ganze Minute warten. Die Attacke ist möglich, da ein Mac kurz vor dem Start von macOS nicht gegen das Auslesen des Arbeitsspeichers geschützt ist. Vor dem Systemstart ist das Bootsystem EFI aktiv, das nicht gegen diesen so genannten Direct Memory Access geschützt ist. Außerdem ist das Filevault-Passwort im Klartext im Arbeitsspeicher enthalten, kann so nach dem Kopieren des Arbeitsspeicherinhalts aufgespürt werden.
Die Erstellung der Hardware ist mit einigen preiswerten Bauteilen möglich. Benötigt wird ein Entwicklerboard mit dem Chip PLX Technologies USB3380, das man mit einem von Frisk programmierten Tool namens PCILeech -Toolkit programmiert. Die Software hat der Entwickler bei Github verfügbar. Die Konfiguration erfolgt unter Windows oder Linux, ein Thunderbolt-Adapter ist ebenfalls erforderlich. Laut Entwickler dauert das Auslesen von 8 GB Arbeitsspeicher knapp eine Minute. Mit der App MAC_FVRECOVER kann man das Kennwort dann an einem angeschlossenen PC aufspüren und anzeigen. Nach der Präsentation bei der DEFCON wurde der Entwickler gebeten, die Veröffentlichung zurückzuhalten, bis die Sicherheitslücke behoben wurde. Mit dem Update auf mac OS 10.2.2 ist das Auslesen des Passwortes nicht mehr möglich, auch Updates für OS X 10.11 und 10.10 sind bereits erschienen. Offenbar hat das Sicherheitsupdate deshalb auch Nachteile für Nutzer von Spezialsoftware: Ein Leser der Macwelt meldet uns, dass er nach dem Aufspielen des Sicherheitsupdates nicht mehr von seinem Thunderbolt-RAID, einem Pegasus R4 booten kann…
Die Angriffsmethode soll sich auch gegen andere Verschlüsselungsmethoden einsetzen lassen, etwa die Festplattenverschlüselung von Windows. Da die Software auch Schreibrechte besitzt, waren über die Angriffsmethode auch andere Attacken möglich, etwa die Installation von Malware. Das Auslesen funktioniert aber anscheinend nur durch einen Neustart, nicht durch den Start eines ausgeschalteten Macs. Offenbar wird das Passwort während des Neustarts gelöscht, kann aber vorher durch das Toolkit ausgelesen werden.
Unsere Meinung:
Die neue Sicherheitslücke in Filevault ist nach unserer Ansicht für Apple eine ziemliche Blamage, so hatte es doch schon früher erfolgreiche Angriffe auf Filevault per DMA gegeben.
Autor: Stephan Wiesend, Autor
Stephan Wiesend schreibt seit 2001 für IDG Artikel zu den Themen Mac-OS, iOS, Software, Hardware und Praxis. Seit 2003 arbeitet er als freier Autor in München und hat bereits mehrere Bücher zum Thema Apps veröffentlicht.