Appleが先日公開したmacOS Sierra 10.12.2で、macOSのディスク暗号化のパスワードが解除されてしまう脆弱性が修正されていたことが分かりました(9to5Mac、iDownloadBlog)。
この脆弱性はセキュリティ研究家Ulf Frisk氏によって発見された、300ドルのThunderboltデバイスを、ロックまたはスリープ中のMacに接続するだけで、FileVaultディスク暗号化のパスワードが漏洩してしまうというものです。
ブログでは、macOSにはこの攻撃を可能にする脆弱性が二つ存在したと説明されています。
一つ目の脆弱性は、macOSが起動する前にDirect Memory Access(DMA)攻撃から保護するための機能が存在しないことです。初期段階で起動するEFIによって、不正なThunderboltデバイスを利用したメモリの読み書きが可能になっていると説明されています。macOS起動後はDMA保護が有効となりますが、macOSを起動する前に暗号化を解除する必要があります。
二つ目の脆弱性は、FileVaultのパスワードがクリアーテキストとしてメモリ内に存在し、これがディスクがアンロックされたあともメモリ内に消去されずにのこっていることです。パスワードはメモリ内の複数の場所に存在し、再起動時に移動するもののメモリの固定された領域に留まっているとされています。
これらの脆弱性によって、再起動によってDM保護が無効となった後、パスワードがまだ数秒間メモリに残っていて、その間に不正なThunderboltデバイスを接続してパスワードを盗み取ることが可能だったのです。パスワードを取得するデモ動画が公開されています。
幸いなことにこの脆弱性はmacOS Sierra 10.12.2で修正されました。Appleのセキュリティコンテンツの説明では明示されていませんが、脆弱性を発見したFrisk氏のブログに以下のような記述があり、不具合が修正されていることがわかります。
December 13th: Apple released macOS 10.12.2 which contains the security update. At least for some hardware - like my MacBook Air.
macOS Sierraを利用している方は最新版に更新したほうが良さそうです。
