Ultime Mela Malware: Unstoppable, inosservabile e in grado di infettare dispositivi Thunderbolt

Questa è una traduzione automatica rafforzata di questo articolo.

Rispetto ai sistemi Windows, Apple ha mantenuto la superiorità di sicurezza per molti, molti anni. Tuttavia, il metodo più recente proof-of-concept consegna il malware potrebbe mettere fine a questo.

Soprannominato “Thunderstrike”, questo malware è impossibile da rimuovere con i metodi convenzionali se non si ha accesso a hardware specializzato. Trammel Hudson, un ricercatore di sicurezza ha utilizzato per Option ROM del dispositivo al fine di dimostrare l’utilizzo di una periferica che Thunderbolt caricato quello che si riferisce a come “bootkit”.

Sviluppato nel 1980, Option ROM sono opzionali, specifica periferica, concepito come un metodo alternativo di immagazzinare programmi critici o il recupero di specifici blocchi periferici della memoria. Inizializzato nelle prime fasi del processo di avvio, di solito si aggrappano al BIOS al fine di fornire un dispositivo di avvio o di avvio di rete. I dispositivi in ​​esecuzione su Thunderbolt sono attrezzati con la propria ROM opzione, qualcosa che tutti Mela verificare, questo processo è parte della propria sequenza di avvio del hardware.

Che Thunderstrike fa è che si inietta dal Option ROM infetto del dispositivo Thunderbolt direttamente in Extensible Firmware Interface del sistema o EH. Secondo la documentazione / UEFI EFI, il firmware deve essere bloccato in modo predefinito, il che renderebbe impossibile questa azione dannoso.

Sulla base di ricerca e sperimentazione di Hudson, le cose non sono quello che sembrano. Hudson ha sottolineato che la ROM Option calci durante il processo di avvio in modalità di ripristino. Durante questa fase, Apple continua a controllare la firma EFI stesso. Se si modifica le dimensioni del file o il suo contenuto, fallirà l’assegno, o almeno dovrebbe avere se team di ricerca di Hudson non era venuto con un metodo per sostituire memorizzato chiave RSA pubblica di Apple con un solo sotto il loro completo controllo.

Ormai, l’utente finale non può aggiornare il firmware del dispositivo con un’immagine standard Apple senza la chiave corretta RSA. Ogni tentativo non passerà l’autenticazione. Avendo questo livello base di accesso al sistema, sarebbe molto facile per un utente malintenzionato di monitorare l’intero sistema, registrare le battiture, i dati di password di registrazione o siti web di pista. Se altri dispositivi Thunderbolt sono collegati ad una macchina compromessa, allora il bootkit potrebbe essere facilmente trasferito su di loro.

Potrebbe attacchi “cameriera œevil ‘essere considerati vettori validi?

L’unico raggio di sole è che questo tipo di attacco richiede l’accesso fisico al sistema, anche per un brevissimo istante. Di solito, questo è solo un esercizio teorico ma, Thunderstrike è differente. La prima cosa è che questo attacco funziona veloce. L’unica cosa che l’attaccante ha bisogno di fare è semplicemente inserire il dispositivo Thunderbolt, tenere premuto il pulsante di accensione per alcuni secondi ed è fatto. Dopo questo, Thunderstrike si auto-installa e di auto-esecuzione in pochi minuti. L’osservatore ordinario solo vedere che il ciclo di avvio richiede un po ‘più a lungo.

L’idea alla base di questo attacco ‘cameriera œevil’ si basa sul concetto di qualcuno che ha accesso al sistema in quanto è bloccato in una camera d’albergo o di sicurezza. Ciò è possibile fare anche in occasione di conferenze, quando le persone lasciano i loro computer portatili incustoditi di usare il bagno.

La maggior parte cosa inquietante è uno dei rapporti di perdita di Edward Snowden. Dà i dettagli di come la NSA intercetta hardware Dell o HP en route per Rootkit loro, quindi riconfezionare come niente fosse. Anche se siamo certi tali tattiche accadono, è lecito ritenere che sfrutta, come Thunderstrike potrebbe essere prezioso come l’oro per le agenzie di intelligence nazionali del mondo.

La risposta di Apple per questo è una patch che negherà Option ROM per caricare durante gli aggiornamenti del firmware. Non si sa quando verrà scoperto una vera e completa soluzione.