Apple、Thunderboltデバイスを利用し30秒程度でFileVault2のパスワードを取得できてしまうDMA攻撃を利用した脆弱性をmacOS Sierra 10.12.2で修正。

シェアする

スポンサーリンク

 AppleはThunderboltデバイスを使用し30秒程度でFileVault2のパスワードを取得できてしまうDMA攻撃を利用した脆弱性をmacOS Sierra 10.12.2で修正したそうです。詳細は以下から。


 macOSにはディスク全体をXTS-AES 128暗号方式を用いて暗号化するFileVault 2という機能が搭載されていますが、macOS 10.12.2へアップデートする前のMacにはこの暗号化パスワードをThunderboltデバイスを利用して30秒程度で取得できてしまう脆弱性がるそうです。

macOS FileVault2 let attackers with physical access retrieve the password in clear text by plugging in a $300 Thunderbolt device into a locked or sleeping mac. The password may be used to unlock the mac to access everything on it. To secure your mac just update it with the December 2016 patches.

Security | DMA | Hacking: macOS FileVault2 Password Retrieval – Frizk.net

 この脆弱性を発見したのはスウェーデンのセキュリティ研究者Ulf Friskさんで、300ドル程度で購入できるThunderobltデバイスを介し、Macの再起動中にDMA攻撃を仕掛けることで、以下の動画の様に30秒程度でFileVault2のパスワードを取得できるそうで、

This makes it easy to just plug in the DMA attack hardware and reboot the mac. Once the mac is rebooted the DMA protections that macOS previously enabled are dropped. The memory contents, including the password, is still there though.

Security | DMA | Hacking: macOS FileVault2 Password Retrieval – Frizk.net

この脆弱性は再起動時にDMAプロテクトが一時的に無効になり、EFIの起動プロセスでメモリのRead/Writeが可能にためで、今年8月にこの脆弱性を指摘されたAppleは先日リリースされたmacOS 10.12.2でこの問題を修正たそうです。macOS 10.12.2ではその他複数の脆弱性や新機能を追加しているので、まだアップデートされていない方は時間を見つけてアップデートしてみてください。

macOS 10.12.2の関連記事

*ThunderboltやFireWireなどPCIeベースのハードウェアとDMA攻撃を利用した手法は「Inception」や「Thunderstrike 2」などが発見されており、Appleはこれらの脆弱性を発見した人や企業の買収も行っています。

コメント

  1. 匿名 より:

    外付けディスクは影響を受けない?

  2. 匿名 より:

    4ヶ月経ってようやく修正か