Każdy komputer, który jest wyposażony w port Thunderbolt – a więc praktycznie każdy nowy MacBook i iMac – jest podatny na bardzo groźny atak.
Każdy komputer, który jest wyposażony w port Thunderbolt – a więc praktycznie każdy nowy MacBook i iMac (i nie tylko) – jest podatny na bardzo groźny atak. Haker znający odpowiednią „sztuczkę” jest w stanie wstrzyknąć złośliwy kod do komputera za pośrednictwem tego właśnie gniazda i przejąć nad nim całkowitą kontrolę. Najgorsze jest jednak to, że ani reinstalacja systemu operacyjnego, ani nawet wymiana dysku twardego nie przyniesie pozytywnych rezultatów. Ten bootkit jest bowiem naprawdę wytrzymały.
Atak zostanie zaprezentowany przez Trammella Hudsona podczas konwentu 31C3. Już teraz wyjaśnił on, że całość polega na wykorzystaniu elementu standardu Thunderbolt znanego jako Option ROM. Jego odpowiednia modyfikacja pozwala hakerowi na obejście podpisów kryptograficznych, które odpowiadają za proces bootowania EFI (jak BIOS). Wówczas możliwe jest wstrzyknięcie kodu do ROM-u SPI Flash na płycie głównej i utworzenie bootkita.
Wstrzyknięty w ten sposób bootkit może bez najmniejszych problemów ukrywać się przed programowymi metodami wykrywania takich elementów. Jest tak dlatego, że kontroluje pierwszą wykonywaną przez system instrukcję oraz jest w stanie kontrolować SMM, wirtualizację i inne, podobne techniki.
Pamięć ROM jest niezależna od systemu operacyjnego. Dlatego też ani reinstalacja OS X, ani wymiana dysku twardego nie jest rozwiązaniem problemu. Jest jednak jedno wyjście, które pozwala zapobiec atakowi. Otóż jeśli nie potrzebujecie portów Thunderbolt w swoim komputerze, możecie (jeśli jest taka opcja) odłączyć je sprzętowo od płyty głównej. Ewentualnie możemy też czekać na reakcję Apple.
Źródło: Niebezpiecznik, TRMM
Komentarze
10