AppleはThunderboltデバイスを使用し30秒程度でFileVault2のパスワードを取得できてしまうDMA攻撃を利用した脆弱性をmacOS Sierra 10.12.2で修正したそうです。詳細は以下から。
macOSにはディスク全体をXTS-AES 128暗号方式を用いて暗号化するFileVault 2という機能が搭載されていますが、macOS 10.12.2へアップデートする前のMacにはこの暗号化パスワードをThunderboltデバイスを利用して30秒程度で取得できてしまう脆弱性がるそうです。
Grab Mac FileVault passwords from locked macs in 30 seconds! https://t.co/26lyBxYK3g
— Ulf Frisk (@UlfFrisk) 2016年12月15日
macOS FileVault2 let attackers with physical access retrieve the password in clear text by plugging in a $300 Thunderbolt device into a locked or sleeping mac. The password may be used to unlock the mac to access everything on it. To secure your mac just update it with the December 2016 patches.
Security | DMA | Hacking: macOS FileVault2 Password Retrieval – Frizk.net
この脆弱性を発見したのはスウェーデンのセキュリティ研究者Ulf Friskさんで、300ドル程度で購入できるThunderobltデバイスを介し、Macの再起動中にDMA攻撃を仕掛けることで、以下の動画の様に30秒程度でFileVault2のパスワードを取得できるそうで、
This makes it easy to just plug in the DMA attack hardware and reboot the mac. Once the mac is rebooted the DMA protections that macOS previously enabled are dropped. The memory contents, including the password, is still there though.
Security | DMA | Hacking: macOS FileVault2 Password Retrieval – Frizk.net
この脆弱性は再起動時にDMAプロテクトが一時的に無効になり、EFIの起動プロセスでメモリのRead/Writeが可能にためで、今年8月にこの脆弱性を指摘されたAppleは先日リリースされたmacOS 10.12.2でこの問題を修正たそうです。macOS 10.12.2ではその他複数の脆弱性や新機能を追加しているので、まだアップデートされていない方は時間を見つけてアップデートしてみてください。
macOS 10.12.2の関連記事
- 複数の不具合などを修正した「macOS Sierra 10.12.2 アップデート」がリリース。
- macOS Sierra 10.12.2ではバッテリー駆動時間「残り」表示が廃止。
- iOS 10.2およびmacOS 10.12.2では新しい壁紙が同梱。
- iOS 10.2およびmacOS 10.12.2でサポートされたRAW形式のデジタルカメラ一覧。
- macOS Sierra 10.12.2 Combo Updateが公開。
- macOS 10.12.2ではSIP有効時にリカバリーパーティションからの設定が不要に。
- macOS 10.12.2ではiCloudのデスクトップ&書類同期機能の移動先が明示。
- macOS 10.12.2でTouch Barのスクリーンショットを撮影する方法。
- macOS 10.12.2ではネットワークボリュームに再接続する度に求められる認証を無効にすることが可能に。
*ThunderboltやFireWireなどPCIeベースのハードウェアとDMA攻撃を利用した手法は「Inception」や「Thunderstrike 2」などが発見されており、Appleはこれらの脆弱性を発見した人や企業の買収も行っています。
コメント
外付けディスクは影響を受けない?
4ヶ月経ってようやく修正か