Последние Apple, Malware: Unstoppable, обнаружить и способен заражать Thunderbolt устройств

Это улучшенный автоматический перевод этой статьи.

По сравнению с системами Windows, Apple сохранила превосходство безопасности для многих, многих лет. Тем не менее, последнее доказательство правильности концепции метод вредоносные программы доставка может положить конец этому.

Прозвище “Thunderstrike”, это вредоносные программы невозможно удалить обычными методами, если у вас есть доступ к специализированной оборудования. Trammel Хадсон, исследователь безопасности используется для дополнительным ПЗУ устройства для того, чтобы продемонстрировать использование молнии периферийных устройств, загружаются, что он называет как “буткитом”.

Разработано в 1980-х, Option ROM являются обязательными, периферическая конкретно, предназначен в качестве альтернативного метода хранения важных программ или извлечения периферийные конкретные блоки памяти. Initialized в начале процесса загрузки, они обычно цепляются себя в BIOS, чтобы обеспечить загрузочное устройство или сетевой загрузки. Устройства, работающие на Thunderbolt оснащены мини-собственному выбору ROM, то, что все компании Apple проверки, этот процесс является частью собственной последовательности загрузки фурнитуры.

Что Thunderstrike делает то, что он вводит себя с зараженного Вариант ПЗУ Thunderbolt устройства прямо в расширяемый интерфейс прошивки системы или EH. Согласно / UEFI документации EFI, прошивки должны быть заблокированы по умолчанию, что сделает невозможным это злоумышленные действия.

На основании исследований и испытаний Хадсона, все не то, что они кажутся. Хадсон отметил, что Option ROM стартует в процессе загрузки в режиме восстановления. На этом этапе, Apple продолжает проверять EFI сам подпись. Если вы либо изменить размеры файла или его содержимое, она не будет выполнена проверка, или, по крайней мере, он должен иметь, если исследовательская группа Хадсон не придумали метод, чтобы заменить хранится открытый ключ с одним RSA от Apple под их полным контролем.

В настоящее время, конечный пользователь не может обновить прошивку устройства с помощью стандартного Apple, изображения без надлежащего ключа RSA. Любая попытка не пройдет проверку подлинности. Имея это базовый уровень доступа к системе, было бы очень легко злоумышленнику контролировать всю систему, записывать нажатия клавиш, данные о пароле записи или отслеживать веб-сайты. Если другие Thunderbolt устройства подключены к нарушенной машины, то Буткит может быть легко передана к ним.

Может “œevil горничной атаки считаться действительным вектором?

Только луч солнца является то, что этот вид атаки требуется физический доступ к системе, даже для самой короткой моментов. Как правило, это только теоретическое, но, Thunderstrike отличается. Первое, что эта атака работает быстро. Единственное, что злоумышленник должен сделать, это просто подключите Thunderbolt устройства, нажмите и удерживайте кнопку питания в течение нескольких секунд, и это делается. После этого, Thunderstrike будет самостоятельно установить и самостоятельно выполнить в считанные минуты. Обычный наблюдатель увидит только то, что цикл загрузки занимает немного больше времени.

Идея этого “œevil горничной атак основан на концепции кого-то, имеющего доступ к системе, как это фиксируется в гостиничном номере или сейф. Это можно сделать даже на конференциях, когда пользователи оставляют свои ноутбуки без присмотра, чтобы использовать ванную.

Наибольшую тревогу, что является одним из докладов утечки Эдвард Сноуден в. Это дает подробности о том, как АНБ перехватывает Dell или HP аппаратное пути для того, чтобы руткит их, то повторной упаковки их, как ничего не произошло. Хотя мы уверены, такая тактика произойдет, можно с уверенностью предположить, что подвиги, такие как Thunderstrike может быть на вес золота национальных спецслужб в мире.

Ответ от Apple, чтобы это патч, который будет отрицать Option ROM для загрузки во время обновления встроенного программного обеспечения. Пока неизвестно, когда истинное и полное решение будет обнаружено.