Bugfix gegen Passwort-Diebstahl
Mitte Dezember hat Apple mit macOS 10.12.2 ein schwerwiegendes Sicherheitsproblem ausgeräumt. Nutzer sollten das Update dringend einspielen, zumal es über 70 weitere Schwachstellen beseitigt. Im wohl wichtigsten Fall ging es um eine Lücke, durch die sich das Nutzerpasswort über den Thunderbolt-Port auslesen ließ – denn bevor macOS startete, schützte sich der Mac nicht gegen DMA-Zugriffe von Thunderbolt-Geräten (Direct Memory Access).
Laut Sicherheitsforscher Ulf Frisk kam Angreifern entgegen, dass das Passwort im Speicher im Klartext vorlag und nach dem Entsperren nicht automatisch gelöscht wurde. Daher genügten nach einem Neustart einige Sekunden, um das Passwort auszulesen, bevor der Speicher mit neuen Inhalten beschrieben wurde. Die erforderliche Software bietet Frisk auf Github zum Download an: PCILeech umfasst in Version 1.3 den Mac-Password-Grabber.
Voraussetzung für den Angriff sind physischer Zugriff auf einen gesperrten oder schlafenden Mac, ein PCI-Express-Board, ein Thunderbolt-Adapter sowie eine Betriebssystemversion vor 10.12.2. Der Angriff wurde zunächst nur gegen mobile Macs mit Thunderbolt-2-Anschlüssen getestet. Verwendet der Nutzer im Passwort Zeichen außerhalb der ASCII-Tabelle, muss es der Angreifer manuell im Memory-Dump suchen.
Frisk hat Apple Mitte August über das Problem informiert. Macs mit älteren OS-X-Versionen sind dieser Angriffsmethode offenbar weiterhin ausgesetzt. Für zusätzlichen Schutz gegen physisch präsente Angreifer sollten Nutzer ein Firmware-Passwort setzen. (dz@ct.de)
PCILeech:ct.de/y8kn