În cazul în care nu ați instalat cele mai recente actualizări ale sistemului de operare MacOS, criptarea discului Apple poate fi cu ușurință învinsă prin conectarea unui dispozitiv special conceput la un MacBook blocat.

Probabil vă întrebați cum este posibil un astfel de atac. Dispozitivele conectate prin Thunderbolt pot accesa memoria RAM a computerului înainte ca sistemul de operare să fie pornit, prin intermediul DMA (funcția de accesare directă a memoriei). De regulă DRM-ul este folosit pentru controlerii disk drive-ului, a plăcii de rețea și a celei de sunet deoarece accesarea memoriei prin intermediul CPU ar păstra procesorul ocupat și indisponibil pentru alte sarcini.

MacOS are pretecții DMA, doar că acestea se execută la pornirea sistemului de operare. EFI-ul însă (Extensible Firmware Interface) – BIOS-ul modern – inițializează dispozitivele Thunderbolt într-un stadiu incipient în procesul de pornice, ce permite ca DMA-ul să fie folosit înainte ca sistemul de operare să pornească a declarat Ulf Frisk.

A doua problemă este aceea că parola pentru criptarea prin Apple Vault 2 este stocată în memorie într-un fișier text simplu, doar dacă disk-ul a fost deblocat o singură dată – ceea ce înseamnă că atunci când ecranul unui Mac este blocat sau revine din modul de somn, parola va fi în continuare în memorie. Mai mult decât atât, parola nu va fi ștearsă din memorie la repornirea sistemului de operare, ci doar va fi mutată într-o altă locație într-un interval de memorie fixă potrivit aceluiaași cercetător de securitate menționat mai sus. Pentru eliminarea parolei din memorie este necesară închiderea Mac-ului definitiv, astfel conținutul RAM fiind complet eliminat.

Cercetătorul Ulf Frisk a creat un dispozitiv hardware – pe care l-a denumit PCILeech – care rulează software-ul său personalizat, dispozitivul fiind capabil să extragă parolele FileVault prin intermediul DMA. Problema pare însă să fie remediată o dată cu actualizarea macOS Sierra 10.12.2 lansată săptămâna trecută.