El hacker sueco Ulf Frisk publicó un artículo en su blog en el que mostraba cómo conectando un dispositivo que ejecuta un software llamado PCILeech software, conectado a un puerto Thunderbolt y forzando un reinicio, se puede acceder a la contraseña del sistema en menos de 30 segundos. Con esta contraseña se tiene acceso. FileVault, con lo que el Mac está totalmente desprotegidos.
Frisk, sin embargo, ha indicado que con la última actualización del sistema, se han implementado medidas de seguridad que impiden este acceso por lo que en máquinas que requieren una alta seguridad es algo más que recomendable instalar esta actualización.
El ataque de Frisk está basado en dos vulnerabilidades, la primera el acceso directo a la memoria antes que el sistema arranque completamente y la segunda, que la contraseña almacenada en FileVault lo estaba en texto plano. A través de estas dos vulnerabilidades era posible recuperar la contraseña y acceder al Mac, de nuevo, con acceso directo a la máquina.
Frisk descubrió el sistema de recuperación de contraseña a finales de julio de 2016, y presentó una versión preliminar de este ataque en la DEF CON 24 el 5 de agosto, sin indicar que los Mac eran vulnerables a este tipo de ataques. Frisk comunicó la vulnerabilidad y forma de ataque a Apple el 15 de agosto de este mismo año para recibir una respuesta por parte de Apple al día siguiente. Sin embargo, hasta el lanzamiento de esta última actualización, Apple no ha implementado medidas de seguridad al respecto hasta esta última actualización.
