Sicherheitslücke vor macOS 10.12.2: Thunderbolt-Gerät kann FileVault-Passwort auslesen

Florian Matthey

Das kürzlich veröffentlichte macOS 10.12.2 schließt eine wichtige Sicherheitslücke im Betriebssystem. Diese ermöglichte es, mit Hilfe eines Thunderbolt-Gerätes das Passwort eines Macs, auf dem FileVault aktiviert ist, auszulesen.

Speicher lässt sich mit Thunderbolt-Gerät auslesen

Der Sicherheitsexperte Ulf Frisk hatte die Sicherheitslücke bereits vorab an Apple gemeldet. Das Unternehmen bat ihn, sie zunächst nicht zu veröffentlichen. Da Apple die Lücke mit dem Update auf macOS 10.12.2 geschlossen hat, hat sich Frisk nun entschlossen, die Details bekannt zu geben.

Bilderstrecke starten(7 Bilder)
macOS Sierra: Clean Install – so wird’s gemacht.

Eines vorweg: Das Passwort eines mit FileVault geschützten Macs ließ sich nur durch Personen auslesen, die physischen Zugriff auf den Rechner hatten. Auch brauchten sie ein Thunderbolt-Gerät, mit dem sich Inhalte des Speichers auslesen lassen, das für 300 US-Dollar erhältlich ist. Potenzielle Datendiebe müssen also zunächst einige Hürden überwinden – dann ist der Zugriff aber sehr leicht, wie ein Video zeigt.

Mac-Sicherheitslücke: Passwort über Thunderbolt auslesen.

Passwort binnen Sekunden auslesbar – trotz FileVault

Voraussetzung ist, dass sich der Mac im Ruhezustand befindet – mit einem ausgeschalteten Mac funktioniert der Zugriff nicht. Wer das Passwort auslesen möchte, muss den Mac „aufwecken“, dann das Thunderbolt-Gerät verbinden und über Befehl-Control-Ein/Ausschalten einen Neustart erzwingen. Das Gerät liest das Passwort dann aus und kann es auf einem weiteren Rechner anzeigen.

Das Problem: Damit der Mac das Betriebssystem von einem mit FileVault verschlüsselten Volume starten kann, muss der Rechner dieses erst mithilfe des Passwort-Schlüssels freischalten. Zuvor arbeitet der Rechner nur mit der Firmware (EFI), die den Mac noch nicht vor einem Speicherzugriff durch Thunderbolt-Geräte schützt.

Im Arbeitsspeicher bleibt das FileVault-Passwort jedoch nach jeder Eingabe unverschlüsselt gespeichert – es ändert sich lediglich der Ort der Speicherung. Wenn sich ein Mac also im Ruhezustand befindet, ist das Passwort im Speicher vorhanden; auch nach einem Neustart ist dies noch für wenige Sekunden der Fall. Eben diese Sekunden reichen dem Thunderbolt-Gerät aus, um das Passwort auszulesen.

Quelle: Ulf Frisk

MacBook Pro 2016 bei Cyberport bestellen*

MacBook Pro 2016: Touch Bar im Test.

Hat dir dieser Artikel gefallen? Schreib es uns in die Kommentare oder teile den Artikel. Wir freuen uns auf deine Meinung - und natürlich darfst du uns gerne auf Facebook oder Twitter folgen.

Zu den Kommentaren

Kommentare zu dieser News

* Werbung