was successfully added to your cart.
蘋果資安

Mac電腦加密與保護與遠端勒索探討

By 2016-12-01 2 Comments

最近有人提到 使用Mac電腦時候 Apple似乎有做多餘監控行為.
https://www.facebook.com/daohung.chang/posts/10154720451754890:0
因此想保障自己隱私.

實際上 這比較偏向於 Apple為了保護 Mac電腦的資料與使用權所做的監控。

總共有三種保護
1.EFI  BIOS  Password
2.Find My Mac (連動EFI BIOS內序號的保護)
3.OS  X開機密碼與filevault密碼. 

一. 尋找我的 Mac
iPhone 上有個尋找我的 iPhone 功能,作為防盜的手段相當不錯
而同樣的機制也出現在電腦上,登入 iCloud 之後可以啟動

01

 

但是要啟動有兩個要件:

011

 

1. 需要有恢復分區(註)

08

 

2.需要去『安全性與隱私』勾選『啟用定位服務』

09

 

 

成功啟用之後,可以去 iCloud.com 的『尋找我的 iPhone』去看看是否有定位成功

02-find-my-mac

 

成功之後就代表可以管理這台機器,如果電腦不見了,一樣回到這邊,開始執行鎖定

03

 

04

 

密碼請務必記得,不然丟掉之後就得回維修中心並提出購買證明才能夠解鎖

05

 

06

 

這些程序是如何鎖定你遺失的 Mac,當遺失的機器連上網路之後,就會立刻重開機並且上鎖

07

 

這時我們做了幾個實驗看看是否能繞過這個機制並正常使用:

1.  進入恢復分區試著重灌

2. 使用外接硬碟能否操作

3. 如果可以,使用外接硬碟重灌並檢查可否使用

 

測試機種為 2014 Early 的 MacBook Air 13″

作業系統為 OS X 10.10 Yosemite 


1. 進入恢復磁區試著重灌:

07

一樣不能進入,而且每重開機一次,輸入密碼的時間會增加 5 分鐘,重開大約四次之後會變成 60 分鐘。

 

2.  使用外接硬碟能否操作

開機的時候按著 option 後選擇使用外接硬碟,能正常進入作業系統,也能夠把權限搶過來並正常存取,所以這個上鎖的方式對於使用外接硬碟並沒有任何防範,可以正常使用。

 

3. 如果可以,使用外接硬碟重灌並檢查可否使用

因為可以外接開機成功,我們透過外接硬碟重灌,硬碟重灌也有成功。但是當嘗試使用內接硬碟來開機時,還是馬上就上鎖,所以不能使用。

 

 

狀況 機器可否使用 資料可否存取
內接開機 不能 不能
外接開機 可以 可以
內接重灌 不能 不能

 

這邊可以知道如果使用 Apple ID 上鎖,連結上網路就會被鎖定,並且原本的硬碟無法使用,但是透過外接硬碟可以繞過這個安全機制,以設備安全的角度來看,被上鎖能保證無法使用,但是以資料安全來看,透過外接硬碟就能夠存取,單獨使用 Apple ID 的防禦是不夠的。

這邊另外來講目前確實有類似勒索iphone方式應用於勒索蘋果電腦.

請大家要妥善保管好自己Apple ID帳密

 


EFI Bios Password

Apple 電腦的硬體加密,還有另外一個,只是比較少人使用,就是 EFI  Bios Password。

首先需要在開機按下 option 進入恢復分區

08

 

然後選擇恢復分區,進入恢復模式

10

 

選擇工具程式中的韌體密碼工具

11

 

啟用韌體密碼並設定要使用的密碼

千萬要記住密碼,沒有重設的方法,如果遺忘只能拿購買憑證回維修中心處理

12

 

之後重新開機,如果按下 option 就會進入鎖定的畫面,一般開機不會顯示這種畫面。

13

 

接下來我們搭配 Apple ID 使用同樣的情況再測試一次,在第二項外接硬碟的項目中,按下 option 就會被 EFI 密碼阻止繼續存取的步驟,就無法做任何事情,這台機器跟資料可以說是都在無法使用的狀態。但可能會有人說還可以把硬碟拆出來使用,沒錯,所以還有一道軟體的加密 – FileVault,不過這邊是探討硬體的加密,暫時先略過這個問題。

 

我們可以得到這樣的結果:

狀況 機器可否使用 資料可否存取
內接開機 不能 不能
外接開機 不能 不能
內接重灌 不能 不能

 

因此若是很在意安全性的問題,建議都可以把這些加密打開以得到更好的保護。


 

在測試之中有一個設定狀況,機器不連上網路,並將所有網路連線記錄刪除,然後在 iCloud 將機器鎖定,這時候機器不會被強制重開,也可以繼續使用,就算重開機也沒有問題,當然一連上網路就會被伺服器偵測到而上鎖,但是沒有網路就不用管。但是在重新開機後為了測試 EFI 密碼,就按下了 command + R,但是一進入恢復畫面,機器立刻重啟並變成鎖定狀態,
但是無線網路顯示沒有任何連線,似乎蘋果強制連上某些免密碼wifi 網路做驗證?看來還有得研究。

 


註:

有些機器開機按下 option 無法看到恢復分區,是因為作業系統版本不同開啟某些軟體陣列功能而造成,這時候改按下 command + R 就可以進去。如果還是沒有,或者在『尋找我的Mac』警告沒有恢復分區,請重新安裝作業系統,直接安裝完畢之後,原本的作業系統還會存在,但會多一個恢復分區出來,就能正常啟用。

從這可以知道 如果是對於一般 PC 電腦.只要把Bios password破解之後(一般以換顆eeprom為主).這台電腦就任人割宰. 而Apple 卻沒有這樣簡單. 

Thx Chang

Author Thx Chang

More posts by Thx Chang

Join the discussion 2 Comments

  • Johnson Huang 說:

    apple devices can “talk” each other , 國外看來的, 至於是用超音波or wifi or bt or 特別的無線技術還不是很清楚
    所以最後一種狀況需在無線遮蔽封閉倉測

Leave a Reply