首页 > 新闻资讯 > IT新闻 >

Thunderbolt设备可用于从锁定的Mac中提取加密密码

苹果的macOS有DMA保护,但它们只有在操作系统运行时才会启动。然而,EFI(可扩展固件接口),在启动过程的早期初始化Thunderbolt设备。
苹果的磁盘加密可以很容易地通过连接特制的设备到锁定的Macbook失败。
 
攻击是可能的,因为通过Thunderbolt连接的设备可以在通过直接存储器访问(DMA)功能启动操作系统之前直接访问计算机的RAM。 DMA机制通常由磁盘驱动器控制器,图形卡,网卡和声卡使用,因为通过CPU访问存储器否则将使处理器繁忙并且不能用于其它任务。
 
苹果的macOS有DMA保护,但它们只有在操作系统运行时才会启动。然而,EFI(可扩展固件接口) - 现代BIOS - 在启动过程的早期初始化Thunderbolt设备,这使他们能够在操作系统启动之前使用DMA,安全研究员Ulf Frisk在一篇博客中说。
 
第二个问题是,如果磁盘已解锁一次,Apple的FileVault 2磁盘加密的密码将以纯文本形式存储在内存中。这意味着,当Mac的屏幕锁定或从睡眠状态返回时,密码将仍然在内存中。
 
此外,根据Frisk,密码不会在重新启动时从内存中擦除,只会移动到固定内存范围内的其他位置。只有当密码从内存中删除时,Mac被关闭,因为这是当RAM内容被完全清除。
 
研究人员创建了一个运行他的定制软件的硬件设备,他称之为PCILeech。设备能够通过DMA提取FileVault密码。
 
“这使得很容易只插入DMA攻击硬件和重新启动Mac,”Frisk说。 “Mac重新启动后,macOS先前启用的DMA保护被删除,包括密码的内存内容仍然存在,在包含密码的内存被新内容覆盖之前有几秒的时间窗口“。
 
Frisk在8月的DEF CON安全会议上展示了针对Linux,Windows和OS X内核的基于DMA的攻击,但他在演示之后发现了对苹果磁盘加密的影响。他保持他的发现秘密,直到现在根据苹果的要求。
 
研究人员证实,本周发布的macOS Sierra 10.12.2更新解决了安全问题,至少在他的MacBook Air上。
 
“苹果决定并推出的解决方案是一个完整的解决方案,”弗里斯克说。 “至少在我已经能够确认的程度上,在macOS引导之前不再可能访问内存。对于这个特定攻击向量,mac现在是最安全的平台之一。