Um das Anmeldepasswort eines Macs mit aktiver Festplattenverschlüsselung auszulesen, braucht es einzig Zugriff auf den Thunderbolt-Anschluss und eine für rund 300 US-Dollar erhältliche Box. Aufgedeckt wurde die Sicherheitslücke von Ulf Frisk, der diese auch in einem Video demonstriert. Nur 30 Sekunden dauert es, bis das Passwort durch diese Methode erlangt werden kann. Dadurch ist es etwa möglich auf sämtliche Daten zuzugreifen, die auf dem Mac liegen.

Wenige Sekunden Zeit um Passwort auszulesen

Zwei Schwachstellen sind für die Sicherheitslücke verantwortlich. Einerseits wird macOS nicht gegen DMA-Angriffe (Direct Memory Access) vor dem Start geschützt, wie Heise schreibt. Andererseits ist es so, dass das Passwort im Klartext im Speicher vorliegt und nach dem Entsperren nicht automatisch gelöscht wird. Nach einem Neustart bleiben somit wenige Sekunden, um das Kennwort abzugreifen, bevor der Speicher mit neuen Daten beschrieben wird, schildert Frisk.

Fix mit neuestem Update – kein Schutz für ältere Macs

Die 300-Dollar-Hardware umfasst ein PCI-Express-Board mit Thunderbolt-Adapter. Die Software, um das Passwort auszulesen gibt es auf GitHub zum Download. Frisk hat diese dort unter dem Namen PCILeech zur Verfügung gestellt. Ob der Angriff auch bei den neuen MacBook Pros mit USB-C-Anschluss reproduzierbar ist, wurde bisher nicht getestet. Apple wurde übrigens bereits hinsichtlich der Sicherheitslücke benachrichtigt und hat diese mit dem Update auf macOS 10.12.2 bereinigt. Macs mit älteren Versionen sind allerdings weiterhin der Schwachstelle ausgesetzt. (red, 17.12.2016)