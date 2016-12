Passwort-Klau per Thunderbolt

Passwort-Diebstahl leicht gemacht: Schlafenden Mac-Rechnern soll sich über deren Thunderbolt-Anschluss das Login-Passwort stehlen lassen. Das hierfür nötige Zubehör lässt sich einem Security-Forscher zufolge für 300 US-Dollar zusammenstellen. Inzwischen wurde das Loch durch Apple gestopft.

Passwort-Klau per Thunderbolt - eine inzwischen geschlossene Schwachstelle machte genau das möglich.

Die meisten Nutzer wähnen ihren Rechner in Sicherheit, wenn sie diesen bei Abwesenheit sperren und schlafen schicken. Mac-Rechner jedoch waren nach Tests der Security-Experten Ulf Frisk [1] genau dann angreifbar. So genügte es, ein spezielles Thunderbolt-Device anzuschließen und den Rechner anschließend neu zu booten. Für kurze Zeit soll dann das Login-Passwort über die Thunderbolt-Schnittstelle auszulesen gewesen sein.



Die Gründe hierfür hätten darin gelegen, dass Macs nicht vor Direct Memory Access (DMA)-Angriffen geschützt seien, bevor macOS gestartet sei. So konnte das Thunderbolt-Device den Memory während des Bootvorgangs beeinflussen. Hinzu kam, dass FileVault im laufenden Betrieb seine Kennwörter im Klartext im Memory ablege. Bei einem Neustart seien diese Kennwörter noch für einige Sekunden auslesbar gewesen, bevor sie durch andere Inhalte überschrieben wurden.



Nach eigenen Angaben hat der Security-Forscher die Schwachstelle Mitte August an Apple gemeldet. In das macOS-Release 10.12.2 vom 13. Dezember sei daraufhin ein Patch eingeflossen.