Apple的麦克斯文件加密容易绕过，而无需最新修复

如果没有本周发布的MacOS更新，Apple“S的磁盘加密就可以通过将特制设备连接到锁定的MacBook来轻松击败。

攻击是可能的，因为通过直接内存访问（DMA）功能启动OS之前，通过Thunderbolt连接的设备可以直接访问计算机的RAM。DMA机制通常由磁盘驱动器控制器，图形卡，网卡和声卡使用，因为通过CPU访问内存将使处理器忙碌，不可用其他任务。

Apple的MacoS具有DMA保护，但它们仅在操作系统运行时启动。然而，EFI（可扩展固件界面） - 现代化BIOS - 在启动过程的早期阶段初始化Thunderbolt设备，这使得它们能够在操作系统启动之前使用DMA，安全研究员ULF在博客文章中表示。

第二个问题是，如果磁盘已解锁一次，则Apple FileVault 2磁盘加密的密码以纯文本存储在内存中。这意味着当Mac有其屏幕锁定或从睡眠状态返回时，密码仍将在内存中。

此外，根据RSISK的情况，密码不会从内存中擦除从内存中擦除到固定内存范围内的不同位置。密码从内存中删除的唯一时间是当MAC关闭时，因为当RAM内容完全清除时，“■”。

研究人员创建了一个运行他称之为Pcileech的自定义软件的硬件设备。该设备能够通过DMA提取FileVault密码。

“这使得只需插入DMA攻击硬件并重新启动Mac，”Frisk说。“一旦MAC重新启动，DMA保护才会删除先前启用的MACOS。但是，包括密码的内存内容仍然存在。在包含密码的内存被覆盖的内容之前有几秒钟的时间窗口。“

Arisk于8月在Def Con安全会议上展示了基于DMA，Windows和OS X内核的基于DMA的攻击，但他发现了在演示后对Apple磁盘加密的影响。他将他的发现秘密秘密，直到现在Apple的请求。

研究人员确认，本周发布的MacOS Sierra 10.12.2更新解决了安全问题，至少在他的MacBook Air上。

“苹果公司决定并推出的解决方案是一个完整的，”弗里斯说。“至少在我能够确认的程度上。在麦底启动之前，不再可以访问内存。MAC现在是该特定攻击载体的最安全的平台之一。“