Специалист обнаружил способ взлома Mac при помощи Thunderbolt

Юрий Милош avatar | 10
FavoriteLoading В закладки

На прошедшем в Гамбурге конгрессе Chaos Computer была продемонстрирована уязвимость, при помощи которой можно переписать прошивку компьютера Mac. Примечательно, что делается это при помощи устройства с разъемом Thunderbolt, которым оснащаются все без исключения современные компьютеры Apple.

Метод взлома получил название Thunderstrike и использует модифицированный для атаки компьютера код, сохраненный в постоянном запоминающем устройстве или ROM. Распространяется он при помощи устройств, подключаемых посредством Thunderbolt. Будучи подключенным к компьютеру, он незаметно переписывает прошивку мака.

Подобный способ взлома компьютера не только невозможно обнаружить, но он также не может быть легко устранен — переустановка OS X неспособна устранить инфицированный код прошивки. Кроме того, Thunderstrike также не хранит информацию на диске, поэтому замена накопителя не даст результата. Таким образом, «вылечить» Mac можно только заменой прошивки, известной как EFI. Однако для этого потребуется специальное оборудование, поскольку обновить прошивку штатными методами опять-таки не удастся.

Как рассказал специалист, обнаруживший уязвимость, Apple в курсе потенциальной проблемы и уже внедрила определенные изменения в интерфейс Thunderbolt для новых Mac mini и iMac с дисплеем Retina 5K. Однако эти решения пока предлагают лишь частичную защиту и по-прежнему могут быть преодолены. Кроме того, Apple еще только предстоит защитить все остальные маки, оборудованные Thunderbolt.

Единственным успокоением для владельцев компьютеров Apple может стать тот факт, что злоумышленнику в любом случае потребуется непосредственный доступ к маку, чтобы заразить его. Также пока ничего неизвестно о подобных случаях, которые уже имели место, хотя это сомнительная гарантия безопасности. [9to5]

1 Звезд2 Звезды3 Звезды4 Звезды5 Звезд (Проголосуйте первым за статью!)
undefined
iPhones.ru
На прошедшем в Гамбурге конгрессе Chaos Computer была продемонстрирована уязвимость, при помощи которой можно переписать прошивку компьютера Mac. Примечательно, что делается это при помощи устройства с разъемом Thunderbolt, которым оснащаются все без исключения современные компьютеры Apple. Метод взлома получил название Thunderstrike и использует модифицированный для атаки компьютера код, сохраненный в постоянном запоминающем устройстве или ROM....
Прокомментировать

🙈 Комментарии 10

  1. ditrix avatar
    ditrix3 января 2015
    0

    Угу, а “Специалист” сотрудник simantec или не дай бок Касперского. Ничего не внятно, якобы уязвимость, якобы интерфейса :))) во истину не дает покоя вирусописателям, верне простите, вирусоловителям, отсутсвие серьезных уязвимостей OS X

    creker avatar
    creker3 января 2015
    0

    @ditrix, а вы с позиции кого это пишете? Всегда удивляет подобное невежество. Для любопытных можно пройти в источник и дойти до записи выступления http://media.ccc.de/browse/congress/2014/31c3_-_6128_-_en_-_saal_1_-_201412291830_-_thunderstrike_efi_bootkits_for_apple_macbooks_-_trammell_hudson.html Смотрите, во всех подробностях, если вы конечно что-то сможете понять. Именно из-за того, что скорее всего не поймете, в новость вставляется всего пара цитата и красивый скриншот.

    Entze avatar
    Entze4 января 2015
    0

    @creker, да ладно вам распинаться. Борьба со скудоумием абсолютно бестолковое занятие.

    По сути проблемы – да, она крайне серьезна. Условно нельзя доверять ни одному Mac оставленному без внимания.

    R0M4NU5 avatar
    R0M4NU53 января 2015
    0

    @ditrix, плюсоваю

  2. svida avatar
    svida3 января 2015
    0

    Стоп, а что за обновы на сандерболд приходят?

    svida avatar
    svida3 января 2015
    0

    @svida, На хаке, например, 1.2 не ставиться…
    10.10 – Тупо висит и не дает скрыть…

  3. Meat-Grinder avatar
    Meat-Grinder3 января 2015
    0

    Так, а что даст перепрошивка EFI злоумышленнику? Пока я понял только то, что обладатель кабеля и флешки сандерболд, может воткнуть это в мой ноут, и там где-то в глубине запишется вредоносный код формата: Здесь был Вася, который ничего не делает.

    creker avatar
    creker3 января 2015
    0

    @Meat-Grinder, опять же, в презентации векторы атак описаны. Поскольку в EFI похоже как находятся ключи, проверяющие цифровую подпись, то рассыпается весь chain of trust. Через EFI возможно заражение уже самой OS X, внедрение в нее какого угодно кода, ведь EFI осуществляет запуск операционной системы. Любые проверки операционки самой себя так же могут быть легко пропатчены. Опять же из-за ключей похоже как возможно накатывать обновления по воздуху с уже предустановленными эксплоитами и руткитами. И все это без всякой возможности вылечить и обнаружить это на уже зараженном компьютере. Плюс есть возможность распространения между устройствами, если зараженное устройство подключить к другому устройству. В итоге получается очень грозное оружие. Это что-то вроде bootrom эксплоита на iPhone, который когда-то нашли на iPhone 4 и ниже – это приводило к полному разрушению chain of trust и любые iOS версии могли быть джейлбрейкнуты с минимальными усилиями. Только здесь эксплоит записывается в bootrom намертво и остается там.

    gnommak avatar
    gnommak3 января 2015
    0

    @Meat-Grinder, Сделать можно все что угодно. Если есть доступ к EFI, тогда можно запихнуть тот же Clover. С его помощью можно патчить дрова уже загружены в оперативную память. И самое интересно здесь то, что такие дрова патчаться после проверки цифровой подписи.
    В общем вариантов я вижу уже десятки, а если за это возьмется специалист, тогда их будут сотни. И хуже здесь то, что это не лечится переустановкой системы или заменой HDD.

  4. SVrus98 avatar
    SVrus984 января 2015
    0

    Лучшим лекарством на сегодня является цена устройств с Thunderbolt :) их позволить и раньше могли себе не все, в свете новых курсов валют….)) в любом случае будем надеяться что яблочники поправят а пока…. стоит пользоваться только фирменными кабелями и переходниками, а также не подключать периферию неизвестного китайского производителя, который по Thunderbolt обещает подключение даже мясорубки)))

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь