Macintosh sering dianggap lebih aman daripada yang menjalankan OS Windows. Tapi ada sebuah teknik serangan yang baru-baru ini ditemukan yang membuktikan bahwa pendapat tersebut SALAH. Teknik baru ini memungkinkan untuk meretas enkripsi password Apple Mac hanya dalam 30 detik!
Hacker & Pentester Ulf Frisk dari Swedia sudah mengembangkan perangkat baru yang mengesankan. Perangkat ini mampu mencuri password dari hampir semua laptop Mac. Baik ketika dalam keadaan sleep atau bahkan terkunci. Dan perangkat baru tersebut pun hanya membutuhkan waktu 30 detik saja. Hal ini juga memungkinkan untuk membuka setiap komputer Mac dan bahkan mendekripsi file yang ada pada hard drive.
So, dilain waktu ketika kamu meninggalkan perangkat Apple tanpa pengawasan, pastikan dalam keadaan mati. Bukan hanya membiarkan sistem dalam mode sleep maupun terkunci.
Lalu bagaimana cara seorang hacker untuk mencuri sandi FileVault2 Mac?
Peniliti menyusun teknik ini dengan memanfaatkan dua kekurangan Apple’s FileVault2 full-disk encryption software yang ditemukan bulan Juli lalu.
Masalah pertama terdapat pada perlindungan DMA. Dimana sang hacker dapat menyerang Direct Memory Access (DMA) sebelum MacOS dijalankan.
Hal ini karena Mac EFI atau Extensible Firmware Interface (mirip BIOS PC) mengizinkan perangkat terpasang lewat Thunderbolt untuk mengakses memori. Tanpa mengaktifkan perlindungan terhadap DMA terlebih dahulu. Hal ini memungkinkan Thunderbolt untuk menulis dan membaca (read and write) memori.
Kedua, password ke FileVault encrypted disk disimpan dalam bentuk teks di memori. Bahkan ketika komputer dalam mode sleep atau terkunci. Ketika komputer reboot, password diletakkan di beberapa lokasi memori. Yang dimana lokasi tersebut berada dalam jangkauan fixed memory. Sehingga dapat dibaca oleh perangkat hacking.
Sebuah perangkat untuk mengeksploitasi kerentanan ini yang dikembangkan oleh Ulf Frisk dinamai PCILeech. Dan dibundle dengan harga sekitar $300. Perangkat yang mampu mengeksploitasi 2 kerentanan, dan menjalankan serangan terhadap DMA serta mengekstrak Mac FileVault2 password dari memori perangkat dalam bentuk teks sebelum MacOS booting, dan perlindungan anti-DMA berlaku.
Untuk melakukan peretasan ini, penyerang hanya membutuhkan akses ke perangkat Mac target. Dan hanya membutuhkan waktu sekejap untuk menghubungkan PCILeech ke perangkat target melalui port Thunderbolt. Yang memungkinkan penyerang untuk memiliki akses penuh ke dalam data.
Berikut video demonstrasi bagaimana serangan ini bekerja:
Frisk sudah melaporkan kerentanan ini ke Apple pada bulan Agustus. Dan pihak Apple memperbaiki celah keamanan ini dalam MacOS 10.12.2 yang dirilis pada tanggal 13 Desember lalu.
Jadi para pengguna desktop Apple harus memperbaharui perangkat ke versi terbaru dari OS agar bisa aman dari serangan ini 🙂
