Recuperare la password di macOS: attaccato FileVault

I sistemi macOS offrono FileVault2, un meccanismo che consente di crittografare il contenuto dell’intero disco impedendo così l’accesso alle informazioni ivi memorizzate da parte di utenti non autorizzati.
La funzionalità FileVault2 è presentata e documentata da Apple in questa pagina.

L’invito però, a questo punto, è quello di procedere all’immediata installazione delle patch per macOS che Apple ha distribuito a dicembre.

Un ricercatore autonomo ha infatti scoperto una grave vulnerabilità in FileVault2 che permette di risalire alla password impostata a protezione dell’account dell’utente guadagnando così l’accesso all’intero sistema.

Il problema, documentato a questo indirizzo, deriva dal fatto che – collegando un dispositivo Thunderbolt del valore di circa 300 dollari – è possibile grazie al fatto che macOS non protegge il contenuto della memoria all’avvio del sistema (DMA, Direct Memory Access) e che la password di FileVault veniva conservata in memoria e non eliminata ad ogni sblocco del sistema.

Per scongiurare ogni rischio (l’aggressore dovrebbe comunque ottenere la disponibilità fisica del sistema macOS da attaccare), è sufficiente installare macOS 10.12.2, aggiornamento che contiene la soluzione al problema.

Notificata ad Apple a metà agosto scorso, la società guidata da Tim Cook aveva immediatamente risposto di essere al lavoro per la risoluzione della falla.