Nhà nghiên cứu bảo mật Ulf Frisk đã chia sẻ chi tiết về một lỗ hổng trong macOS 10.12.1 và thấp hơn cho phép bất kỳ ai có quyền truy cập vật lý vào máy Mac bị khóa đều có thể nhanh chóng và dễ dàng lấy được mật khẩu chỉ bằng cách cắm thiết bị Thunderbolt trị giá 300 đô la.
“Bất kỳ ai bao gồm, nhưng không giới hạn ở, đồng nghiệp của bạn, cảnh sát, người hầu gái độc ác và kẻ trộm sẽ có toàn quyền truy cập vào dữ liệu của bạn miễn là họ có thể có được quyền truy cập vật lý – trừ khi máy Mac hoàn toàn tắt. Nếu máy Mac đang ngủ , nó vẫn dễ bị tấn công. Chỉ cần đi đến máy mac bị khóa, cắm thiết bị Thunderbolt, buộc khởi động lại (ctrl + cmd + power) và đợi mật khẩu hiển thị trong vòng chưa đầy 30 giây! “
Frisk đã thông báo Apple trở lại vào tháng 8, khi công ty xác nhận vấn đề và yêu cầu anh ta giữ lại thông tin chi tiết để chờ khắc phục. Anh ấy báo cáo rằng lỗ hổng bảo mật không còn xuất hiện trong macOS 10.12.2, và hiện đã giải thích chính xác cách nó hoạt động.
“Vấn đề đầu tiên là mac không tự bảo vệ mình trước các cuộc tấn công Truy cập Bộ nhớ Trực tiếp (DMA) trước khi macOS được khởi động. EFI đang chạy ở giai đoạn đầu này cho phép Thunderbolt cho phép các thiết bị độc hại đọc và ghi bộ nhớ. Ở giai đoạn này, macOS không chưa được khởi động. macOS nằm trên đĩa được mã hóa – đĩa này phải được mở khóa trước khi có thể khởi động. Khi macOS được khởi động, macOS sẽ bật tính năng bảo vệ DMA theo mặc định. Vấn đề thứ hai là mật khẩu FileVault được lưu trữ dưới dạng văn bản rõ ràng trong bộ nhớ và điều đó nó không được tự động xóa khỏi bộ nhớ sau khi đĩa được mở khóa. Mật khẩu được đặt ở nhiều vị trí bộ nhớ – tất cả dường như di chuyển giữa các lần khởi động lại, nhưng trong phạm vi bộ nhớ cố định. “
Việc khởi động lại sẽ tắt các bảo vệ DMA, nhưng mật khẩu vẫn hiện diện trong bộ nhớ trong vài giây – đủ lâu để thiết bị tìm kiếm và truy xuất mật khẩu. Xem video dưới đây để xem nó hoạt động.
Nguồn: 9To5Mac
