Sicherheitslücke erlaubt Auslesen des Passworts bei Apple-Rechnern

Security (Bild: Shutterstock)

Angreifer können über Thunderbolt die Festplattenverschlüsselung FileVault binnen weniger Sekunden umgehen. Der Sicherheitsforscher Ulf Frisk informierte Apple bereits im Juli darüber. Die Schwachstelle wurde jedoch erst jetzt mit MacOS 10.12.2 behoben.

Mit dem Update auf MacOS 10.12.2 hat Apple insgesamt 72, teilweise gravierende Sicherheitslücken geschlossen. Eine dieser Sicherheitslücken erlaubt es Unbefugten auch, das mit der Festplattenverschlüsselung FileVault gesicherte Passwort von Macs auszulesen. Sie wurde vom schwedischen Sicherheitsforscher Ulf Frisk bereits im Juli entdeckt und Mitte August an Apple berichtet.

Frisk hat nun nach dem Patch durch Apple die für den Angriff erforderliche Software PCILeech auf GitHub veröffentlicht. Mit der Exploit-Software könnte jeder vollständigen Zugang zu Mac-Daten erlangen, wie Frisk erklärt. Voraussetzung ist allerdings, dass der Angreifer physisch Zugriff auf den Mac hat und über ein Thunderbolt-Gerät verfügt, dessen Hardware mit einem PCI-Express-Board rund 300 Euro kostet. Der Sicherheitsforscher kam bei seinen Versuchen erfolgreich an die Passwörter von mehreren MacBooks und MacBook-Air-Modellen, die mit Thunderbolt 2 ausgestattet waren. Nicht getestet wurden Macs mit einem Anschluss vom Typ USB-C.

Mehr zum Thema

Wie man gefährliche E-Mails identifiziert

Gefälschte E-Mails enthalten häufig Viren oder andere Angreifer. Oft sollen auch private und sensible Daten gestohlen werden. Anhand weniger Kriterien lassen sich gefährliche E-Mails jedoch schnell erkennen.

Ist beides der Fall, dann genügt der Anschluss an einen gesperrten oder im Schlafmodus befindlichen Mac-Rechner, um nach einem mittels Tastenkombination erzwungenen Neustart innerhalb von weniger als 30 Sekunden an das Passwort zu gelangen. Ein vollständig ausgeschalteter Mac ist nicht angreifbar.

Laut Frisk schützt sich ein Mac vor dem Start des Betriebssystems nicht gegen DMA-Attacken (Direct Memory Access). Das zu diesem Zeitpunkt laufende EFI erlaubt es aber schon vorher, über Thunderbolt im Speicher zu lesen und zu schreiben. DMA-Schutzvorkehrungen werden erst nach dem Start von MacOS aktiviert.

Der zweite Fehler der Apple-Entwickler war es, das FileVault-Passwort im Klartext im Speicher abzulegen und es auch nach der Festplattenverschlüsselung nicht automatisch aus dem Speicher zu löschen. Nach einem Neustart bleibt daher ein Zeitfenster von einigen Sekunden, um an das Passwort zu gelangen, bevor es überschrieben wird.

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.