Шведский хакер смог получить пароль от заблокированного макбука с помощью устройства за 300 долларов

Шведский security-исследователь Ульф Фриск (Ulf Frisk) опубликовал описание уязвимости, которая позволила ему получить пароль от заблокированного макбука с помощью самодельного устройства за 300 долларов. Уязвимость исправлена в последнем обновлении macOS.

FileVault2 — система, полностью шифрующая содержимое жёсткого диска компьютера, работающего на macOS с помощью пароля. Для взлома необходим физический доступ к уязвимому макбуку, а также чтобы находился в спящем или заблокированном режиме. После подключения специального устройства в порт Thunderbolt и нажатия ctrl+cmd+power для принудительной перезагрузки, устройство в течение 30 секунд выводит на экран пароль для расшифровки содержимого диска.

Это стало возможным из-за двух независимых проблем с безопасностью. Первая заключается в том, что macOS не защищает оперативную память от прямого доступа (DMA) до момента начала своей загрузки, что позволяет подключённому через Thunderbolt устройству получить дамп памяти, а вторая – в том, что после принудительной перезагрузки система не очищает содержимое RAM, в которой, в том числе, хранится в открытом виде пароль. При этом защита от DMA отключается до момента загрузки системы. Этих нескольких секунд хватает для того, чтобы считать дамп памяти.

Уязвимость была обнаружена в конце июля 2016 года, передана в Apple в августе и исправлена в декабрьском обновлении macOS 10.12.2.