Hacker met hoodie

Apple’s FileVault-wachtwoord bleek makkelijk te achterhalen

Het wachtwoord van Apple's FileVault-beveiliging bleek op MacBooks makkelijk te achterhalen, zegt een beveiligingsonderzoeker.
Gonny van der Zwaag - · Laatst bijgewerkt:

Als je MacBook is gestolen, dan ben je misschien blij dat je een FileVault-wachtwoord had ingesteld. Technisch gezien moet die je beschermen tegen ongewenste toegang, maar dat blijkt nu minder veilig dan gedacht. Het FileVault-wachtwoord is gemakkelijk te omzeilen, beweert de Zweedse beveiligingsonderzoeker Ulf Frisk. Het goede nieuws is, dat Apple de kwetsbaarheid eerder deze week heeft gedicht in macOS 10.12.2.

Hacker met hoodie

FileVault bleek niet zo veilig

Ook heb je er speciale hardware voor nodig en moet iemand fysieke toegang hebben tot jouw MacBook. De kans dat je de afgelopen maanden slachtoffer bent geworden is dus niet zo groot. Alleen als jouw MacBook in verkeerde handen is gevallen of in beslag genomen door de overheid, hoef je te vrezen.

Beveiligingsonderzoeker Frisk gebruikte een apparaat waarop PCILeech stond geïnstalleerd en achterhaalde het FileVault 2-wachtwoord tijdens het herstarten van de MacBook. Dit gebeurde met een direct memory access (DMA)-aanval. In macOS 10.12.2 heeft Apple de ervoor gezorgd dat DMA-aanvallen niet langer mogelijk zijn.

FileVault 4

Apple gebruikte voor FileVault 2 de XTS-AES-128 encryptie met een 256-bit sleutel, om te voorkomen dat anderen toegang krijgen tot informatie op jouw opstartschijf. In de praktijk zou dit goed genoeg moeten zijn, behalve dat er geen rekening was gehouden met de DMA-aanvallen.

Wachtwoord zonder versleuteling
In de eerste seconden bij het opstarten van een Mac mogen aangesloten apparaten korte tijd het geheugen lezen en beschrijven. Frisk testte dit met Thunderbolt 2 (of het ook met Thunderbolt 3/USB-C werkt is niet onderzocht). Van dit moment maakt een aanvaller gebruik: hij kan in het geheugen schrijven en daarmee het systeem omzeilen. Het was daarbij niet eens nodig om een exploit te maken om het FileVault-wachtwoord te achterhalen, want deze bleek in onversleuteld in platte tekst te zijn vastgelegd. Volgens Frisk hoefde hij weinig meer te doen dan een apparaat met PCILeech aan te sluiten en te herstarten. Daarna is er een korte periode van een paar seconden voordat het wachtwoord wordt overschreven met nieuwe content.

Opgelost in macOS 10.12.2
Frisk rapporteerde de ontdekking in juli aan Apple en kreeg het verzoek om nog niets publiek te maken totdat het probleem was opgelost. Inmiddels is dat het geval. Het is nu niet langer mogelijk om het geheugen te benaderen vóór het normale bootproces.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt 16 december 2016, 14:57
Categorie Mac & macOS
Onderwerp beveiliging

Reacties zijn gesloten voor dit artikel.