На прошедшем в Гамбурге конгрессе Chaos Computer была продемонстрирована уязвимость, при помощи которой можно переписать прошивку компьютера Mac. Примечательно, что делается это при помощи устройства с разъемом Thunderbolt, которым оснащаются все без исключения современные компьютеры Apple.
Метод взлома получил название Thunderstrike и использует модифицированный для атаки компьютера код, сохраненный в постоянном запоминающем устройстве или ROM. Распространяется он при помощи устройств, подключаемых посредством Thunderbolt. Будучи подключенным к компьютеру, он незаметно переписывает прошивку мака.
Подобный способ взлома компьютера не только невозможно обнаружить, но он также не может быть легко устранен — переустановка OS X неспособна устранить инфицированный код прошивки. Кроме того, Thunderstrike также не хранит информацию на диске, поэтому замена накопителя не даст результата. Таким образом, «вылечить» Mac можно только заменой прошивки, известной как EFI. Однако для этого потребуется специальное оборудование, поскольку обновить прошивку штатными методами опять-таки не удастся.
Как рассказал специалист, обнаруживший уязвимость, Apple в курсе потенциальной проблемы и уже внедрила определенные изменения в интерфейс Thunderbolt для новых Mac mini и iMac с дисплеем Retina 5K. Однако эти решения пока предлагают лишь частичную защиту и по-прежнему могут быть преодолены. Кроме того, Apple еще только предстоит защитить все остальные маки, оборудованные Thunderbolt.
Единственным успокоением для владельцев компьютеров Apple может стать тот факт, что злоумышленнику в любом случае потребуется непосредственный доступ к маку, чтобы заразить его. Также пока ничего неизвестно о подобных случаях, которые уже имели место, хотя это сомнительная гарантия безопасности. [9to5]
10 комментариев
Форум →Угу, а “Специалист” сотрудник simantec или не дай бок Касперского. Ничего не внятно, якобы уязвимость, якобы интерфейса :))) во истину не дает покоя вирусописателям, верне простите, вирусоловителям, отсутсвие серьезных уязвимостей OS X
@ditrix, а вы с позиции кого это пишете? Всегда удивляет подобное невежество. Для любопытных можно пройти в источник и дойти до записи выступления http://media.ccc.de/browse/congress/2014/31c3_-_6128_-_en_-_saal_1_-_201412291830_-_thunderstrike_efi_bootkits_for_apple_macbooks_-_trammell_hudson.html Смотрите, во всех подробностях, если вы конечно что-то сможете понять. Именно из-за того, что скорее всего не поймете, в новость вставляется всего пара цитата и красивый скриншот.
@creker, да ладно вам распинаться. Борьба со скудоумием абсолютно бестолковое занятие.
По сути проблемы – да, она крайне серьезна. Условно нельзя доверять ни одному Mac оставленному без внимания.
@ditrix, плюсоваю
Стоп, а что за обновы на сандерболд приходят?
@svida, На хаке, например, 1.2 не ставиться…
10.10 – Тупо висит и не дает скрыть…
Так, а что даст перепрошивка EFI злоумышленнику? Пока я понял только то, что обладатель кабеля и флешки сандерболд, может воткнуть это в мой ноут, и там где-то в глубине запишется вредоносный код формата: Здесь был Вася, который ничего не делает.
@Meat-Grinder, опять же, в презентации векторы атак описаны. Поскольку в EFI похоже как находятся ключи, проверяющие цифровую подпись, то рассыпается весь chain of trust. Через EFI возможно заражение уже самой OS X, внедрение в нее какого угодно кода, ведь EFI осуществляет запуск операционной системы. Любые проверки операционки самой себя так же могут быть легко пропатчены. Опять же из-за ключей похоже как возможно накатывать обновления по воздуху с уже предустановленными эксплоитами и руткитами. И все это без всякой возможности вылечить и обнаружить это на уже зараженном компьютере. Плюс есть возможность распространения между устройствами, если зараженное устройство подключить к другому устройству. В итоге получается очень грозное оружие. Это что-то вроде bootrom эксплоита на iPhone, который когда-то нашли на iPhone 4 и ниже – это приводило к полному разрушению chain of trust и любые iOS версии могли быть джейлбрейкнуты с минимальными усилиями. Только здесь эксплоит записывается в bootrom намертво и остается там.
@Meat-Grinder, Сделать можно все что угодно. Если есть доступ к EFI, тогда можно запихнуть тот же Clover. С его помощью можно патчить дрова уже загружены в оперативную память. И самое интересно здесь то, что такие дрова патчаться после проверки цифровой подписи.
В общем вариантов я вижу уже десятки, а если за это возьмется специалист, тогда их будут сотни. И хуже здесь то, что это не лечится переустановкой системы или заменой HDD.
Лучшим лекарством на сегодня является цена устройств с Thunderbolt :) их позволить и раньше могли себе не все, в свете новых курсов валют….)) в любом случае будем надеяться что яблочники поправят а пока…. стоит пользоваться только фирменными кабелями и переходниками, а также не подключать периферию неизвестного китайского производителя, который по Thunderbolt обещает подключение даже мясорубки)))
Нашли орфографическую ошибку в новости?
Выделите ее мышью и нажмите Ctrl+Enter.Как быстро вводить эмодзи и специальные символы в macOS
Как узнать, кто из семейного доступа использует больше места в iCloud
Научи iPhone проговаривать имя звонящего
Как на iPhone найти и изменить ненадежные пароли из связки ключей
Почему после смены Apple ID на iOS запрашивается пароль старой учётной записи
Возможна ли настройка портретного режима в фото на Mac
Можно ли заменить Lightning-гарнитуру iPhone 7 по гарантии?
Пропадают заметки на iPhone, что делать?