Apple’s FileVault-wachtwoord bleek makkelijk te achterhalen
Als je MacBook is gestolen, dan ben je misschien blij dat je een FileVault-wachtwoord had ingesteld. Technisch gezien moet die je beschermen tegen ongewenste toegang, maar dat blijkt nu minder veilig dan gedacht. Het FileVault-wachtwoord is gemakkelijk te omzeilen, beweert de Zweedse beveiligingsonderzoeker Ulf Frisk. Het goede nieuws is, dat Apple de kwetsbaarheid eerder deze week heeft gedicht in macOS 10.12.2.
FileVault bleek niet zo veilig
Ook heb je er speciale hardware voor nodig en moet iemand fysieke toegang hebben tot jouw MacBook. De kans dat je de afgelopen maanden slachtoffer bent geworden is dus niet zo groot. Alleen als jouw MacBook in verkeerde handen is gevallen of in beslag genomen door de overheid, hoef je te vrezen.
Beveiligingsonderzoeker Frisk gebruikte een apparaat waarop PCILeech stond geïnstalleerd en achterhaalde het FileVault 2-wachtwoord tijdens het herstarten van de MacBook. Dit gebeurde met een direct memory access (DMA)-aanval. In macOS 10.12.2 heeft Apple de ervoor gezorgd dat DMA-aanvallen niet langer mogelijk zijn.
Apple gebruikte voor FileVault 2 de XTS-AES-128 encryptie met een 256-bit sleutel, om te voorkomen dat anderen toegang krijgen tot informatie op jouw opstartschijf. In de praktijk zou dit goed genoeg moeten zijn, behalve dat er geen rekening was gehouden met de DMA-aanvallen.
Wachtwoord zonder versleuteling
In de eerste seconden bij het opstarten van een Mac mogen aangesloten apparaten korte tijd het geheugen lezen en beschrijven. Frisk testte dit met Thunderbolt 2 (of het ook met Thunderbolt 3/USB-C werkt is niet onderzocht). Van dit moment maakt een aanvaller gebruik: hij kan in het geheugen schrijven en daarmee het systeem omzeilen. Het was daarbij niet eens nodig om een exploit te maken om het FileVault-wachtwoord te achterhalen, want deze bleek in onversleuteld in platte tekst te zijn vastgelegd. Volgens Frisk hoefde hij weinig meer te doen dan een apparaat met PCILeech aan te sluiten en te herstarten. Daarna is er een korte periode van een paar seconden voordat het wachtwoord wordt overschreven met nieuwe content.
Opgelost in macOS 10.12.2
Frisk rapporteerde de ontdekking in juli aan Apple en kreeg het verzoek om nog niets publiek te maken totdat het probleem was opgelost. Inmiddels is dat het geval. Het is nu niet langer mogelijk om het geheugen te benaderen vóór het normale bootproces.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Publieke beta 1 van macOS Sequoia 15.3 beschikbaar voor ontwikkelaars (18-12)
- Apple verklapt komst van M4 MacBook Air (en dit zit er mogelijk in) (12-12)
- Dit zijn de nieuwe functies in macOS Sequoia 15.2 (12-12)
- macOS Sequoia 15.2 nu te downloaden: dit is er nieuw (11-12)
- Dit is wanneer de MacBook Pro zonder notch (en met cameragaatje) verwacht wordt (10-12)
Reacties: 6 reacties