De nuevo la compañía de Cupertino sale maltrecha antena una prueba de privacidad. En esta ocasión, ha sido FileVault2 el que no ha salido bien parado. Un Hacker ha creado un dispositivo que cuesta 300 dólares y que permite descifrar la información que se ampara bajo este mecanismo de protección de Mac OS X. Esto quiere decir que cualquier persona podría tener el suyo o incluso fabricarlo con sus propias manos.
Seguro que muchos, aunque posean Mac para su ocio o trabajo, no conocen esta función que está integrada desde hace muchos años en el sistema operativo de la compañía estadounidense. La función que nos ocupa y sobre la que se ha detectado el fallo de seguridad permite el cifrado del contenido del disco duro utilizando para ello el cifrado AES de 128 bits, algo que debería ser suficiente o al menos si está bien implementado, algo que no está del todo claro a la vista del desarrollo realizado.
El dispositivo creado ha sido bautizado como PCILeech y realiza ataques directos contra el sistema de almacenamiento, permitiendo la lectura de la memoria de sistemas operativos de 64 bits. Aunque se ha aplicado en Mac OS X, si el cifrado no está bien aplicado es probable que este sistema funcione contra otros, como por ejemplo Linux y Windows.
Toda la información para fabricar este dispositivo, tanto a nivel de software como hardware, está disponible a través de GitHub.
Fallos en la programación de FileVault2
El desarrollador de esta herramienta (si es que puede llamarse así) afirma que el pasado verano detectó dos fallos en la programación de este módulo. Se ha valido de ambos para que PCILeech sea capaz de extraer las contraseñas en texto plano. Principalmente, el problema se encuentra en la EFI de los Mac, abriendo el puerto Thunderbolt 2 mucho antes de que el sistema operativo haya comenzado con la carga. Esto quiere decir que el hacker ha tenido la oportunidad de conectar el dispositivo y leer la memoria del Mac antes de que haya entrado en funcionamiento el sistema que protege contra este tipo de ataques y que obviamente neutralizaría la operación.
La contraseña de FileVault almacenada en texto plano
Aunque es algo curioso, el hacker ha descubierto que antes de que el sistema operativo se inicie, la contraseña que permite la modificación de FileVault2 se almacena en texto plano. Añade que la contraseña se ubica en diferentes zonas tras cada reinicio o apagado, pero siempre dentro de un rango, por lo que no resulta complicado encontrarla. Por eso ha modificado PCILeech para que sea capaz de localizar esta zona y extraer la contraseña en el corto margen de tiempo antes de que entre en funcionamiento el sistema que evita este tipo de ataques.
En el siguiente vídeo se puede ver un ejemplo de qué es lo que estamos hablando:
Solucionado en la versión 10.12.2
También hay que decir que este problema se ha solucionado con el lanzamiento de la última versión, por lo que si posee un Mac esta actualización podría decirse que es de obligada instalación. Sí que es verdad que para realizar el ataque se necesita disponer de acceso al dispositivo, pero obviamente, a ningún usuario le gusta disponer de un sistema vulnerable.