Macovi ranjivi na gotovo neotkriveni virus koji se "ne može ukloniti"

Istraživač sigurnosti otkrio je način za zarazu Macova malware-om koji se gotovo ne može otkriti i koji se 'ne može ukloniti'.

Napad, koji je nazvan Thunderstrike, instalira zlonamjerni kod u Boot ROM sustava putem Thunderbolt priključka.

Trammell Hudson, koji radi za hedge fond Two Sigma Investments i također je tvorac Čarobna svjetiljka programsko okruženje otvorenog koda za Canonove DSLR-e, otkrio je ranjivost nakon što ga je njegov poslodavac zamolio da provjeri sigurnost Appleovih prijenosnih računala.

"Prije nekoliko godina razmišljali smo o implementaciji MacBookova i zamoljeni su me da iskoristim svoje iskustvo obrnutog inženjeringa kako bih istražio izvješća o rootkitovima na Macu kako bismo vidjeli je li moguće zakrpati firmware kako bismo bili sigurni od njih," napisao je Hudson u sažetak ranjivosti.

Nakon prvobitnog otkrivanja da se ROM za pokretanje može petljati ako se prijenosno računalo fizički rastavi kako bi se omogućio pristup čip zalemljen na matičnu ploču, zatim je usavršio ovu tehniku ​​kako bi se napad mogao izvesti putem sustava Thunderbolt luka.

"Ispostavilo se da nam Thunderbolt priključak daje način da pokrenemo kod kad se sustav podigne", napisao je Hudson. "Thunderbolt dovodi PCIe sabirnicu u vanjski svijet i u vrijeme pokretanja EFI firmware pita priključene uređaje imaju li Option ROM-ove za pokretanje."

Hudson je otkrio da bi mogao koristiti modificirani Appleov gigabitni Ethernet Thunderbolt adapter za izvođenje napada.

"Budući da je to prvi OS X firmware bootkit, trenutno ništa ne skenira njegovu prisutnost. Upravlja sustavom od prve upute, što mu omogućuje bilježenje pritisaka tipki, uključujući ključeve za šifriranje diska, postavite stražnja vrata u OS X kernel i zaobiđite lozinke firmvera," Hudson rekao je.

A jednom kad se nađe na vašem sustavu, nevjerojatno ju je teško ukloniti.

"Ne može se ukloniti softverom jer kontrolira ključeve za potpisivanje i rutine ažuriranja. Ponovna instalacija OS X neće ga ukloniti. Zamjenom SSD-a nećete ga ukloniti jer nema ništa pohranjeno na disku."

"Klasični napadi 'zle sluškinje' također su izvedivi. Ako ste nekoliko minuta sami s prijenosnim računalom, Thunderstrike omogućuje zamjenu firmvera ROM-a za pokretanje, bez obzira na lozinke firmvera ili enkripciju diska," objašnjava Hudson. "Dakle, dok doručkujete u hotelu tijekom konferencije i ostavite stroj u svojoj sobi i dolazi čistač da namjesti krevet, instalira stražnja vrata firmvera i zamijeni ručnike."

Prema Hudsonu, Thunderstrike je "učinkovit protiv svakog MacBook Pro/Air/Retina s Thunderboltom."

Srećom, Hudson izvještava da Apple radi na ažuriranju koje će spriječiti upisivanje zlonamjernog koda u Boot ROM putem Thunderbolt porta. Međutim, ovo ažuriranje ne bi zaštitilo sustav od izravnog diranja u ROM za pokretanje.

Jedna obrana od ovoga bila bi premažite vijke kućišta svjetlucavim lakom za nokte i izbliza fotografirajte tuljan koji ste stvorili. Svjetlucanje u laku za nokte postavlja se u nasumični uzorak koji bi bilo nemoguće ponoviti, a sve dok fotografije čuvate na sigurnom, možete biti sigurni da niste petljali s vijcima.

Vidi također:

• Besplatni antivirusni skeneri za Windows računala
• Softverski alati za daljinski pristup: Kako biti za radnom površinom kada niste za stolom
• Apple ima ozbiljan problem s kvalitetom softvera
• Priča se da će obnova MacBook Aira ukinuti USB, MagSafe i Thunderbolt priključke
• Kako pokrenuti Windows 10 na Macu, besplatno
• Jedan jednostavan (i besplatan) alat za ažuriranje vašeg Windows računala