Apple ha rilasciato da poco diversi aggiornamenti per i suoi sistemi operativi e uno di essi – macOS 10.12.2 – è decisamente consigliato anche per ragioni di sicurezza. Serve infatti a eliminare una vulnerabilità che è stata documentata e mostrata dall’esperto di sicurezza svedese Ulf Frisk. Questa vulnerabilità permette di impadronirsi della password di FileVault e quindi vanificare la maggiore sicurezza offerta in teoria dalla funzione di cifratura del disco.
Frisk ha dimostrato come per ricavare la password di FileVault basti avere accesso a un Mac e collegarsi ad esso via Thunderbolt attraverso una piccola scheda logica che di solito viene usata dagli sviluppatori software. La scheda, che costa poche decine di euro, permette di “fotografare” la memoria del computer a cui è connessa (in questo caso un Mac) e di trasferirla a un altro computer di controllo per essere esaminata.
L’attacco al Mac può essere portato collegando la scheda e il computer di controllo al Mac-bersaglio – che può anche essere bloccato o in pausa, basta che non sia spento – e forzando il riavvio da tastiera con la combinazione di tasti Control – Comando – pulsante di alimentazione.
Nelle prime fasi del riavvio, la scheda logica cattura i dati della memoria del Mac e li trasferisce al computer di controllo, dove un software battezzato PCILeech e sviluppato da Frisk stesso scandaglia alcune zone di memoria specifiche alla ricerca della password di FileVault. L’attacco porta a determinare alcune password che sono potenzialmente usabili per sbloccare FileVault sul Mac.
Tutto questo è possibile, spiega Frisk, perché la memoria del Mac non è protetta da questi tipi di attacchi prima dell’avvio completo di macOS e perché la password di FileVault viene conservata in chiaro in una zona di memoria che non è fissa ma è ragionevolmente identificabile.
L’aggiornamento a macOS 10.12.2 risolve questo problema, anche grazie al fatto che Frisk ha identificato la vulnerabilità e l’ha comunicata prima di tutto ad Apple.