Senaste Apple Malware: Unstoppable, omöjlig att upptäcka och kan infektera Thunderbolt-enheter

Detta är en förbättrad automatisk översättning av denna artikel.

Jämfört med Windows-system, har Apple underhålls säkerhets överlägsenhet i många, många år. Dock kunde den senaste proof-of-concept malware leveransmetod sätta stopp för det.

Smeknamnet “Thunderstrike”, är denna malware omöjlig att ta bort med konventionella metoder om du inte har tillgång till specialiserad hårdvara. Trammel Hudson, har en säkerhetsforskare som används för att enhetens Option ROM för att visa användningen av en Thunderbolt perifer som laddade vad han kallar en “bootkit”.

Utvecklad i 1980-talet, Option ROM är valfria, perifer specifika, utformad som en alternativ metod för att lagra kritiska program eller hämta perifera specifika block av minne. Initierat tidigt i uppstartsprocessen, de brukar klänga sig BIOS för att ge en startbar enhet eller nätverksstart. Enheter som körs på Thunderbolt är utrustade med egen Option ROM, något som alla Apple verifiera, är denna process en del av hårdvaran egen startsekvensen.

Vad Thunderstrike gör är att det sprutar sig själv från den infekterade Option ROM av Thunderbolt-enheten rakt in systemets Extensible Firmware Interface eller EH. Enligt / UEFI dokumentationen EFI, bör den fasta programvaran låsas som standard, vilket skulle göra det skadliga åtgärder omöjligt.

Baserat på Hudsons forskning och provning, saker är inte vad de verkar vara. Hudson har påpekat att Option ROM kicks under återställningsläge startprocessen. Under detta skede, fortsätter Apple att kontrollera EFI signaturen själv. Om du ändrar någon filstorleken eller dess innehåll, kommer det att misslyckas kontrollen, eller åtminstone det borde ha om Hudson forskargrupp inte hade kommit med en metod att ersätta Apples lagrade offentliga RSA-nyckel med ett under deras fullständig kontroll.

Vid det här laget, kan slutanvändaren inte uppdatera enhetens firmware med en standard Apple bild utan ordentlig RSA-nyckel. Varje försök kommer inte passera autentisering. Med denna grundläggande nivå av tillträde till systemet, skulle det vara mycket lätt för en angripare att övervaka hela systemet, logga tangenttryckningar, spela in lösenordsdata eller spår webbplatser. Om andra Thunderbolt-enheter är anslutna till ett nedsatt maskin, då bootkit lätt skulle kunna föras vidare till dem.

Kunde “œevil piga” attacker anses giltiga vektorer?

Den enda solstråle är att denna typ av angrepp kräver fysisk tillgång till systemet, även för den kortaste av stunder. Vanligtvis är detta bara en teoretisk övning, men är Thunderstrike annorlunda. Det första är att denna attack fungerar snabbt. Det enda angriparen behöver göra är bara att plugga in Thunderbolt-enheten, håll strömknappen i några sekunder och det görs. Efter detta, Thunderstrike kommer själv installera och själv köra på bara några minuter. Den vanliga observatör ser bara att uppstart cykeln tar lite längre tid.

Tanken bakom detta “œevil maid” attack bygger på begreppet någon som har tillgång till systemet som det är låst i ett hotellrum eller säkert. Detta är möjligt att göra även vid konferenser, när människor lämnar sina bärbara datorer utan uppsikt för att använda badrummet.

Mest störande sak är en av Edward Snowden s läckagerapporter. Det ger ut uppgifter om hur NSA fångar Dell eller HP hårdvara väg för att rootkit dem, sedan packa dem som ingenting hänt. Även om vi är säkra på sådan taktik hända, är det säkert att anta att exploits såsom Thunderstrike kan vara lika värdefullt som guld till världens nationella underrättelsetjänster.

Apples svar på detta är en patch som kommer att förneka Option ROM att ladda under firmware-uppdateringar. Det är okänt när en sann och fullständig lösning kommer att upptäckas.