Angreifern ist es möglich, das Mac-Passwort von Nutzern zu knacken, die ihre Festplatte mit Apples FileVault-Verschlüsselung sichern. Dafür benötigen sie nur eine kleine Box, die sie mit dem Thunderbolt-Anschluss verbinden und schon kann der Angreifer das im Klartext geschriebene Passwort auslesen und auf alle Daten zugreifen, die sich auf dem Gerät befinden.
Dies gelingt durch zwei Faktoren: Erstens ist das Mac-Gerät nicht gegen DMA-Angriffe geschützt bevor macOS gestartet wird, wodurch Thunderbolt-Geräte nach dem Neustart Zugriff auf den Speicher erhalten. Zweitens wird das Passwort, dass im Klartext geschrieben ist, nicht gelöscht, sobald das Gerät entsperrt wird. Somit haben Angreifer ein paar Sekunden Zeit, um das Passwort auszulesen. Danach wird der Speicher mit neuem Inhalt überschrieben.
Um einen Angriff auszuführen brauchen Hacker nur direkten Zugriff auf das Mac-Gerät, einen Thunderbolt-Adapter und ein PCI-Express-Board. Die Software dazu lässt sich auf Github herunterladen.
Apple hat bereits auf die Sicherheitslücke reagiert und sie mit dem Update macOS 10.12.2 beseitigt. Nutzern wird empfohlen, es unverzüglich herunterzuladen, da es auch andere Sicherheitslücken schließt, die den Mac bedrohen. Wer sich gegen die Thunderbolt-Angriffe schützen möchte, sollte ein Firmware-Passwort festsetzen.