Come impedire la memorizzazione della password WiFi nella partizione di ripristino?

11

Mi sono sempre chiesto come il mio Mac potesse connettersi a Internet quando viene avviata la partizione di ripristino e la mia partizione di sistema principale è bloccata (filevault2).

Alcuni googling pubblicati oggi (ad es. qui , qui , e anche su askdifferent ) che la password WiFi è apparentemente memorizzata nella NVRAM e che deve essere resettata per rimuovere la password . Come persona attenta alla sicurezza, questo è inaccettabile per me. Quando si utilizza Full Disk Encryption (ad esempio, Filevault2), mi aspetto che il sistema sia sicuro, anche contro la mia rete.

Quindi esiste un modo per impedire a OS X di rendere la password disponibile nella partizione di ripristino? Non sono sicuro di come o quando entrerà nella NVRAM in primo luogo.

Update1 : La NVRAM contiene i seguenti tasti: ( nvram -p ):

BootCampHD
SystemAudioVolume
SystemAudioVolumeDB
aht-results
backlight-level
bluetoothActiveControllerInfo
bluetoothInternalControllerInfo
boot-gamma
efi-apple-recovery
efi-boot-device
efi-boot-device-data
fmm-computer-name
good-samaritan-message
gpu-policy
prev-lang:kbd

Le chiavi efi-apple-recovery e efi-boot-device sembrano come se potessero contenere dati crittografati.

    
posta n1000 13.07.2015 - 22:11
fonte

1 risposta

15

Mi sono sempre chiesto la stessa cosa: come mantenere OS X dall'archiviazione della passphrase (o PSK) WPA nella NVRAM.

Usando 'nvram' non sono mai riuscito a trovare la variabile che pensavo contenesse queste credenziali. Oggi ho provato a fare il boot su un'immagine live USB di Linux e ad eseguire Chipsec . Il suo comando di elencare le variabili EFI ha molti più risultati di quelli che ottenevo eseguendo nvram all'interno di OS X. Tra le variabili nel mio MacBook Pro (metà 2010) c'erano:

  • rete corrente
  • -reti preferite
  • security-password

I dati della variabile corrente-rete includono l'SSID del mio router domestico, in chiaro. Quindi viene riempito con 0 byte fino alla fine, ovvero 32 byte e rappresenta le 64 cifre esadecimali di Chiave pre-condivisa (PSK) .

La variabile reti preferite ha lo stesso aspetto di rete corrente .

La variabile password di sicurezza contiene esattamente lo stesso numero di byte della password EFI impostata, quindi presumo che si tratti della password di blocco del firmware. Sospetto che usi un qualche tipo di mascheramento / codifica. Una teoria che ho avuto è che queste password sono memorizzate come codici di scansione della tastiera o qualcosa del genere, ma non ho ancora abbastanza informazioni.

Forse usando Chipsec o un altro strumento EFI, puoi azzerare queste variabili EFI e impostare su di esse un flag di controllo / permessi di accesso in modo che non possano essere riscritte. Forse anche solo azzerarli sarà una soluzione per te (se hai solo bisogno di rivendere il laptop o qualcosa del genere). Non mi è chiaro se OS X li riscriva regolarmente o solo quando si modificano le credenziali WPA.

Modifica : Ho appena saputo di un comando per recuperare le password wifi dalla NVRAM:      /usr/libexec/airportd readNVRAM

Inoltre, collegando il GUID, nvram può effettivamente leggere questi valori:

  • nvram 36C28AB5-6566-4C50-9EBD-CBB920F83843:current-network
  • nvram 36C28AB5-6566-4C50-9EBD-CBB920F83843:preferred-networks
  • nvram 36C28AB5-6566-4C50-9EBD-CBB920F83843:preferred-count

Quindi, forse puoi soffiare via quelle variabili e vedere come va.

EDIT 2 : come menzionato da un commento precedente, il metodo per eliminare una variabile EFI è il seguente (sudo richiesto per eliminare): sudo nvram -d 36C28AB5-6566-4C50-9EBD-CBB920F83843:current-network

Non è ancora chiaro se la variabile restituirà.

    
risposta data 15.07.2015 - 05:41
fonte

Leggi altre domande sui tag