Los ordenadores Macintosh a menudo se consideran más seguros que los que ejecutan el sistema operativo Windows, pero una técnica de ataque recientemente descubierta demuestra que todo está mal.
Todos los que necesita un atacante es un dispositivo de $300 para tomar el control total de su Mac o MacBook.
Pirata informático sueco y de pruebas de penetración Ulf Frisk ha desarrollado un nuevo dispositivo que puede robar la contraseña virtualmente de cualquier portátil Mac mientras está durmiendo o incluso bloqueado en sólo 30 segundos, lo que permite a los piratas informáticos desbloquear cualquier ordenador Mac e incluso descifrar los archivos en su disco duro.
Por lo tanto, la próxima vez cuando salga de su computadora portátil de Apple sin supervisión, asegúrese de apagarlo por completo en lugar de limitarse a poner el sistema en modo de reposo o bloqueado.
Así es cómo un atacante puede robar su contraseña Mac
El investigador ideó esta técnica mediante la explotación de dos defectos de diseño que descubrió en julio pasado en el software de cifrado de disco completo de Apple (FileVault2).
La primera cuestión es que el sistema Mac no protege contra acceso directo a memoria ataques (DMA) antes de que se inicie macOS.
Es debido a que el EFI Mac o Extensible Firmware Interface (similar a la BIOS de un PC) permiten que los dispositivos enchufados sobre Thunderbolt acceder a la memoria sin habilitar protecciones de DMA, lo que permite dispositivos Thunderbolt leer y escribir la memoria.
En segundo lugar, la contraseña para el disco FileVault cifrada se almacena en texto claro en la memoria, incluso cuando el ordenador está en modo de reposo o bloqueado. Cuando se reinicia el equipo, la contraseña se puso en múltiples posiciones de memoria dentro de un rango de memoria fija, por lo que es legible por los dispositivos de piratería informática.
Apodado PCILeech y cuesta aproximadamente $ 300, el dispositivo de la piratería explota estas dos vulnerabilidades para llevar a cabo ataques de DMA y extraer las contraseñas de Mac FileVault2 de la memoria de un dispositivo en texto claro antes de que arranque MacOS, y las protecciones anti-DMA entren en vigor.
Para ello, necesita un atacante tener acceso a una computadora Mac sólo unos pocos minutos para conectar el dispositivo PCILeech de piratería informática a la computadora a través del puerto Thunderbolt, lo que le permitiría al atacante tener acceso completo a los datos.
Vídeo de demostración del Ataque
Frisk también proporcionó un video demostración que muestra la forma en que simplemente enchufado en una tarjeta con su herramienta de software PCILeech de código abierto en el puerto Thunderbolt del Mac, reinicia el sistema y lee contraseñas en el Mac en el otro ordenador portátil.
Sí, el ataque sólo funciona si un atacante tiene acceso físico a un Mac o MacBook, pero todo lo que necesita es sólo 30 segundos para llevarlo a cabo con éxito.
«Cualquier persona, incluyendo compañeros, policía, criada y ladrón tendrán acceso completo a los datos, siempre y cuando puedan tener acceso físico a menos que el Mac esté apagado por completo», explicó Frisk en una entrada de blog el jueves.
«Si el Mac está durmiendo todavía es vulnerable, un paseo a un Mac bloqueado, conectando el dispositivo Thunderbolt, fuerza un reinicio (ctrl + cmd + power) y esperar a que la contraseña se mostrará en menos de 30 segundos!»
Frisk informó de sus hallazgos a Apple en agosto y la empresa fijó los temas en macOS 10.12.2 publicados el 13 de diciembre.
Así que los usuarios de escritorio de Apple están obligados a actualizar sus dispositivos a la última versión de su sistema operativo para estar seguro.