Come impedire l'archiviazione della password WiFi sulla partizione di ripristino?

Mi sono sempre chiesto come il mio Mac potesse connettersi a Internet quando la partizione di ripristino viene avviata e la mia partizione di sistema principale è bloccata (filevault2).

Alcuni googling hanno rivelato oggi (ad esempio qui , qui e anche su askdifferent ) che la password WiFi è apparentemente memorizzata nella NVRAM e che deve essere ripristinata per rimuovere la password. Come persona attenta alla sicurezza, questo è inaccettabile per me. Quando utilizzo la crittografia completa del disco (ad esempio Filevault2), mi aspetto che il sistema sia sicuro, anche contro la mia rete.

Esiste quindi un modo per impedire a OS X di rendere disponibile la password nella partizione di ripristino? In primo luogo, non sono sicuro di come o quando entrerà in NVRAM.

AGGIORNAMENTO1 : La NVRAM contiene i seguenti tasti: ( nvram -p):

BootCampHD
SystemAudioVolume
SystemAudioVolumeDB
aht-results
backlight-level
bluetoothActiveControllerInfo
bluetoothInternalControllerInfo
boot-gamma
efi-apple-recovery
efi-boot-device
efi-boot-device-data
fmm-computer-name
good-samaritan-message
gpu-policy
prev-lang:kbd

Le chiavi efi-apple-recoverye efi-boot-devicesembrano che potrebbero contenere dati crittografati.

Mi sono sempre chiesto la stessa cosa: come impedire a OS X di archiviare la passphrase (o PSK) WPA in NVRAM.

Usando 'nvram' non sono mai riuscito a trovare la variabile che pensavo contenesse queste credenziali. Oggi ho provato ad avviare un'immagine live USB di Linux e ad eseguire Chipsec . Il suo comando per elencare le variabili EFI ha molti più risultati di quelli che stavo ottenendo eseguendo nvram in OS X. Tra le variabili del mio MacBook Pro (metà 2010) c'erano:

• corrente di rete
• -reti preferite
• security-password

I dati della variabile di rete corrente includono l'SSID del mio router di casa, in chiaro. Quindi viene riempito con 0 byte fino alla fine, ovvero 32 byte, e rappresenta le 64 cifre esadecimali della chiave pre-condivisa (PSK) .

La variabile delle reti preferite ha lo stesso contenuto della rete corrente .

La variabile password di sicurezza contiene esattamente lo stesso numero di byte della password EFI che ho impostato, quindi suppongo che questa sia la password di blocco del firmware. Sospetto che usi una sorta di mascheramento / codifica. Una teoria che ho avuto è che queste password sono memorizzate come codici di scansione della tastiera o qualcosa del genere, ma non ho ancora abbastanza informazioni.

Forse utilizzando Chipsec o un altro strumento EFI, è possibile azzerare queste variabili EFI e impostare un flag di controllo / autorizzazioni di accesso su di esse in modo che non possano essere riscritte. Forse anche solo azzerarli sarà una soluzione alternativa per te (se hai solo bisogno di rivendere il laptop o qualcosa del genere). Non mi è noto se OS X li riscriva regolarmente o solo quando si modificano le credenziali WPA.

EDIT : ho appena appreso di un comando per recuperare le password wifi da NVRAM: /usr/libexec/airportd readNVRAM

Inoltre, collegando il GUID, nvram può effettivamente leggere questi valori:

• nvram 36C28AB5-6566-4C50-9EBD-CBB920F83843:current-network
• nvram 36C28AB5-6566-4C50-9EBD-CBB920F83843:preferred-networks
• nvram 36C28AB5-6566-4C50-9EBD-CBB920F83843:preferred-count

Quindi, forse puoi spazzare via quelle variabili e vedere come va.

EDIT 2 : come menzionato in un commento precedente, il metodo per eliminare una variabile EFI è il seguente (sudo richiesto per cancellare):sudo nvram -d 36C28AB5-6566-4C50-9EBD-CBB920F83843:current-network

Non è ancora chiaro se la variabile tornerà.