Mac с чипом безопасности T2 можно взломать

Компания по восстановлению паролей под названием Passware обнаружила уязвимость в чипе Apple T2. Благодаря ей можно взламывать аккаунты пользователей Mac методом брутфорса, то есть простого перебора. На это может уйти немало времени, но если пароль слабый, можно управиться за 10 часов.

Passware занимается продажей программных решений для взлома почти 25 лет. Её инструменты обычно используются в рамках закона, для нужд вроде судебных экспертиз и восстановления данных. Когда Apple в 2018 году представила чип безопасности T2, Passware столкнулся с проблемами в работе своих инструментов на macOS.

T2 представляет собой аппаратный метод защиты, который разрешает только определённое количество попыток ввода пароля, а потом блокирует систему. Тогда единственным способом проникновения является взлом ключа дешифрования файловой системы. Даже с применением мощного графического процессора на это ушли бы миллионы лет.

Теперь у Passware появился новый модуль, который позволяет обойти ограничение на число попыток ввода пароля. Правда, этот модуль довольно медленный. Программное обеспечение фирмы на старых Mac может обрабатывать десятки тысяч вариантов в секунду, а этот модуль способен только на 15 попыток в секунду. И всё же, если применять словарь из 500 тысяч, относительно слабый пароль из шести символов может получиться взломать за 10 часов.

Для этого потребуется личный доступ к компьютеру, так что уязвимость мало угрожает домашнему пользователю. Эта уязвимость есть только на Mac на процессорах Intel с чипом T2. Современные Mac на процессоре Apple M1 неуязвимы для взлома, а прошлые модели без T2 уязвимы для старых версий приложений фирмы.

Passware говорит о продаже своего программного обеспечение только государственным покупателям или частным компаниям, у которых есть законные основания на его применение. Природа используемой уязвимости храниться в тайне от широкой общественности.

Однако, раз о существовании уязвимости стало известно, хакеры постараются найти её и использовать.