A aura de inviolabilidade e de segurança que o macOS dá aos utilizadores tem sido quebrada nos últimos anos. Este sistema que era até há pouco tempo sólido e impenetrável tem-se mostrado uma fonte de problemas para os utilizadores.
Uma nova falha foi descoberta recentemente e deita por terra a segurança que o FileVault2 garantia. Em poucos segundos e com um hardware acessível é possível obter a password de acesso.
O FileVault2 é o mecanismo de cifra dos discos do macOS e que garante que estes não sejam acedidos sem a password correcta. Era tido como seguro e inviolável, mas o investigador de segurança sueco Ulf Frisk descobriu agora uma forma de o contornar. Com recurso a um equipamento de 300 dólares consegue obter a password de qualquer mac que esteja bloqueado ou em pausa.
Este dispositivo liga-se à porta Thunderbolt e após um simples reiniciar apresenta a password de acesso a quem quiser aceder ao equipamento.
A origem do problema do FileVault2
Segundo este investigador existem 2 problemas que permitem este acesso. O primeiro é um problema com as permissões de leitura e escrita contra Direct Memory Access (DMA). Ainda antes do sistema operativo arrancar e ainda a estar dependente da EFI a memória está acessível.
O segundo problema vem do próprio FileVault2, que aparentemente guarda a palavra passe em claro, não a removendo de imediato após o disco ser desbloqueado. Esta password é guardada em diferentes zonas de memória, para protecção, mas que são reconhecidas e identificáveis.
É com estes dois vectores que o ataque é possível e a password obtida.
Este descoberta foi provada em vários MacBooks e Macbooks Airs, todos com Thunderbolt 2. Não foi testado ainda num dos novos MacBook com portas USB Tipo-C, mas o mais provável é que a falha exista também, uma vez que o problema é do FileVault2.
A Apple corrigiu este problema no macOS 10.12.2, pelo que é urgente que os utilizadores actualizem as suas máquinas.
via: Ulf Frisk