AppleInsider é suportado por seu público e pode ganhar comissão como Associado da Amazon e parceiro afiliado em compras qualificadas. Essas parcerias de afiliados não influenciam nosso conteúdo editorial.
Uma empresa que fabrica uma ferramenta de quebra de senhas diz que uma nova vulnerabilidade encontrada no chip Mac T2 permite forçar a força bruta de senhas e descriptografar um dispositivo.
O chip T2 da Apple, entre outros recursos, permite que um usuário de Mac criptografe e descriptografe dados em seu SSD. Essa criptografia é reforçada por outros recursos de segurança, como um limite no número de tentativas de senha para mitigar ataques de força bruta.
Como a senha de um Mac não é armazenada em seu SSD, ignorar essa criptografia significava que um invasor precisaria forçar a chave de descriptografia, o que poderia levar milhões de anos. No entanto, uma empresa chamada Passware diz que agora pode derrotar esse mecanismo de segurança.
As ferramentas de desbloqueio de senhas anteriormente eram capazes de decifrar senhas em Macs sem o chip T2. No entanto, no início de fevereiro, a empresa anunciado discretamente um complemento para a versão mais recente do software pode ignorar as proteções de mitigação de força bruta em um chip T2.
Esse módulo disponível para a ferramenta Passware aparentemente explora uma nova vulnerabilidade do chip T2 para contornar o limite de tentativas de senha. O resultado final é que um invasor pode aplicar um dicionário de senhas e forçar a senha de um Mac com força bruta, permitindo que eles descriptografem potencialmente os dados do dispositivo.
Os ataques habilitados por senha são lentos, no entanto. A ferramenta de quebra de senhas da empresa pode adivinhar 15 senhas por segundo. Se a senha de um usuário for relativamente longa, a força bruta em um Mac ainda pode levar milhares de anos. Senhas mais curtas são mais vulneráveis, com uma senha de seis caracteres que pode ser quebrada em cerca de 10 horas.
A empresa também está oferecendo um dicionário de cerca de 550.000 senhas comumente usadas, juntamente com um dicionário mais longo de cerca de 10 bilhões de senhas.
A ferramenta de desvio T2 da senha está disponível tanto para clientes governamentais quanto para empresas que podem fornecer uma justificativa válida para seu uso. Custa US$ 1.990.
A forçar a senha de um Mac requer acesso físico ao seu dispositivo, portanto, o recurso não será uma preocupação significativa para a maioria dos usuários. Os usuários que bloqueiam seu Mac com uma senha de dispositivo mais longa e forte também podem ficar tranquilos sabendo que uma tentativa de força bruta pode levar milhares de anos.
Da mesma forma, a falha só se aplica a Macs baseados em Intel com um chip T2. Dispositivos Mac com chips Apple Silicon ou M1 não são afetados.
