所需仅为PCILeech设备和物理接触到MacBook
PCILeech是瑞典渗透测试员为成功获取Mac或MacBook完全控制权而采用的价值仅为300美元的设备。该设备创造者名为乌尔夫·弗雷斯克,秒黑MacBook无压力。
基本上任何苹果笔记本电脑的口令都能被该设备获取,无论电脑是在睡眠状态还是锁定状态。而且,盗取口令的过程仅耗时约30秒。攻击者可轻易解锁任意Mac电脑或笔记本,解密硬盘上存储的所有文件。
弗雷斯克开发的这一技术基于苹果FileVault2全盘加密软件的2个重大却不太为人所知的设计缺陷。在博客帖子中,弗雷斯克详细阐述了他的发现和破解过程。根据他的帖子,通过插入该价值300没有缘雷电(Thunderbolt)接口设备,物理接触到Mac电脑的黑客便可以利用 MacOS FileVault2 获取到电脑的明文口令,无论电脑是处于睡眠还是锁定状态。
弗雷斯克写道:“口令可被用于解锁Mac,访问电脑上的所有资料。想保护你的Mac,只需更新安装上2016年12月的更新即可。任何人,包括但不限于你的同事、警方、邪恶女佣和小偷,只要能物理接触到你的电脑,就能拥有对你数据的完全访问权——除非你的Mac完全关机。即便Mac是在睡眠状态无法挡住此类攻击。”
弗雷斯克发现并利用的MacOS缺陷,包括了MacOS启动前对直接存储存取(DMA)攻击的防护不足。Mac可扩展固件接口(EFI)允许插入到Thunderbolt接口的设备在不激活DMA防护的情况下控制内存。这揭示了Thunderbolt设备拥有内存读写权的事实。
第2个问题,是MacOS在内存中以明文的方式存储FileVault加密硬盘的口令,甚至电脑锁定或睡眠状态都一直存在内存中,硬盘解锁了都不会自动清除。该口令位于多个内存位置,重启会改变存储位置,但总限定在一段内存地址范围内。
值得指出的是,PCILeech是能自动化DMA攻击并秒获 Mac FileVault2 口令的设备。弗雷斯克已知会了苹果公司其研究结果,苹果承诺在近日发布的 macOS 10.12.2 中解决该问题。建议各位尽快更新您的Mac电脑。