Šifrování disku v počítačích Apple s neaktualizovaným operačním systémem lze snadno prolomit připojením speciálně upraveného zařízení k zamčenému počítači.
Útok je možný proto, že zařízení připojená prostřednictvím rozhraní Thunderbolt mohou přistupovat k operační paměti přímo pomocí funkce DMA dříve, než se spustí operační systém. Mechanismus DMA typicky využívají řadiče disků, grafické, síťové a zvykové karty, protože přístup k paměti prostřednictvím procesoru by jej vytěžoval a blokoval využití pro jiné úlohy.
V operačním systému Apple MacOS existují ochrany DMA, ale ty fungují pouze když operační systém běží. Rozhraní EFI inicializuje zařízení Thunderbolt v raných fázích zaváděcího procesu a umožňuje jim využít DMA, než se spustí OS.
Druhý problém je, že heslo pro šifrování disku FileVault 2 je uložené v paměti jako prostý text, pokud byl disk jednou odemčen. To znamená, že při uzamčení obrazovky nebo probuzení z režimu spánku je heslo stále v paměti.
Při restartu navíc není heslo z paměti odstraněno, ale pouze přesunuto do pevného paměťového rozsahu. K jeho odstranění dojde pouze při úplném vypnutí, kdy je obsah RAM zcela vymazán.
Čerstvě vydaná aktualizace MacOS Sierra 10.12.2 tuto zranitelnost zcela odstraňuje, prokazatelně alespoň na zařízení MacBook Air. K operační paměti nyní není možný přístup dříve, než se spustí operační systém.