News & Rumors: 18. December 2016,

Mac-Passwort nicht sicher — Auslesen über Thunderbolt möglich

mac_pcileech-77029d2939fa755a
MacBook Air mit pcileech - Bild: Ulf Frisk

Macs ohne macOS 10.12.2 sind nach Angaben des Sicherheitsforschers Ulf Frisk von einer schweren Sicherheitslücke betroffen. Angreifer können in 30 Sekunden das Anmeldepasswort eines Nutzers auslesen, auch wenn die Festplattenverschlüsselung FileVault aktiviert ist.

Die Vorgehensweise ist dabei vergleichsweise einfach und geschieht über den Thunderbolt-Port, an den eine Box angeschlossen wird. Diese ist derzeit für etwa 300 US-Dollar erhältlich. Nach dem Auslesen des Passwort haben Angreifer freien Zugriff auf sämtliche Daten des Nutzers.

Nachdem die Box über den Thunderbolt-Port angeschlossen ist, muss der angegriffene Mac lediglich neu gestartet werden – mehr Interaktion ist in vielen Fällen nicht nötig. Innerhalb von 30 Sekunden wird das Passwort ausgelesen. Wie der Sicherheitsforscher Ulf Frisk erläutert, sind Macs nicht durch DMA-Angriffe (Direct Memory Access) vor dem Start des Geräts geschützt. Nach einem Neustart erhalten Thunderbolt-Geräte den Zugriff auf den Speicher über EFI.

Passwort im Klartext verfügbar

Darüber hinaus legt macOS das Passwort von Nutzern im Klartext im Speicher ab und löscht es nach dem Entsperren nicht automatisch. Bevor der Speicher mit neuen Daten überschrieben wird, haben Angreifer ein kurzes Zeitfenster, um an das Passwort im Klartext zu kommen. Frisk bietet das „Mac-Password-Grabber“ als Teil von PCILeech in der Version 1.3 bei Github zum Download an.

Apple wurde im August 2016 über das Problem informiert und hat die Sicherheitslücke mit dem neuen Update auf macOS 10.12.2 schließen können. Macs mit älteren OS-Versionen sind aber nach wie vor angreifbar.

Quelle: heise online



Mac-Passwort nicht sicher — Auslesen über Thunderbolt möglich
3.25 (65%) 4 Bewertungen

Keine News mehr verpassen! Unsere App für iOS und Android mit praktischer Push-Funktion.

Zuletzt kommentiert






 1 Kommentar(e) bisher

  •  Andreas_ (18. Dezember 2016)

    FYI

    Bei den Macs auf denen FileVault nicht aktiviert ist (ich vermute ca. 90%) könnnen per Target Mode und einem Thunderbolt- oder FireWire-Kabel seit je her alle Daten gelesen werden, ohne das Passwort zu kennen.


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.


You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>