Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

FileVault2 Passwort am Mac auslesen – außer in macOS Sierra!

M.Sc. Chris Wojzechowski

Es sind keine hohen Anforderungen, an denjenigen, der das Passwort am Mac auslesen will. Eine Box für 300€ muss erworben werden und 30 Sekunden Zeit eingeplant werden. Nach einem Neustart kann das Passwort ausgelesen werden. Apple wurde im August über die kritische Sicherheitslücke informiert und hat sie, durch macOS Sierra 10.12.2, vor kurzem geschlossen! Alte Systeme sind nach wie vor gefährdet!

Wie lässt sich das Passwort am Mac so einfach auslesen?

Der Angriff wurde bisher nur gegen MacBooks mit mindestens einem Thunderbolt 2 Anschluss getestet. Der Punkt, an dem ein Angreifer dazwischengrätschen kann, ist der fehlende Schutz gegen DMA-Angriffe (Direct Memory Access). Dadurch ist der direkte Speicherzugriff, nachdem der Rechner neu gestartet ist, möglich.

Ein zweites Problem ist die Speicherung des Passwortes im Klartext. Angreifer können ein kleines Zeitfenster nutzen um das Passwort abzugreifen, bevor es neu beschrieben wird. Um den Angriff am Ende durchzuführen ist der physische Zugriff nötig, ein PCI-Express-Board und ein Thunderbolt-Adapter.

Wie kann man sich schützen? Sind alle Macs betroffen?

Sobald Nicht-ASCII-Zeichen verwendet werden, stößt die Methode an Grenzen. Der Angreifer muss dann nämlich im Memory-Dump manuell nach dem Passwort suchen. Außerdem sind alle Mac User, die bereits die neuste Version von macOS installiert haben, auf der sicheren Seite. Mit Version 10.12.2. wurde die Schwachstelle, wie ca. 70 weitere, geschlossen. Ältere Macs sind noch weiterhin über diese Schwachstelle verwundbar.


Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!


Das FileVault2 Passwort am Mac auslesen? Meine Meinung!

Siri und die anderen Features haben mich nicht überzeugt auf macOS Sierra zu aktualisieren. Die Beseitigung von über 70 Sicherheitslücken, die wohl teilweise so kritisch waren wie diese, sind aber ein Argument. Das Angriffsszenario ist jedoch ein sehr spezielles. Nicht jeder fürchtet die Bedrohung eines physischen Angriffs.

Um sich aber zu schützen, hilft ein Firmware-Passwort. In Kombination mit aktuellster Software ist man somit auf der sicheren Seite. Ein Betriebssystem Update macht also durchaus Sinn!

Weitere Informationen und Quellen

[1] macOS FileVault2 Password Retrieval (blog.friz.net)
[2]
 Mac-Passwort lässt sich über Thunderbolt auslesen (heise)


Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.


Foto des Autors

M.Sc. Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin einer von zwei Geschäftsführern der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.