Nyeste Apple Malware: Unstoppable, undetectable og i stand til å infisere Thunderbolt-enheter

Dette er en forbedret automatisk oversettelse denne artikkelen.

Sammenlignet med Windows-systemer, har Apple holdt sikkerhet overlegenhet i mange, mange år. Imidlertid kan den nyeste proof-of-concept malware leveringsmåte sette en stopper for det.

Tilnavnet “Thunderstrike”, er dette malware umulig å fjerne ved konvensjonelle metoder med mindre du har tilgang til spesialisert maskinvare. Trammel Hudson, har en sikkerhetsforsker brukes til enhetens Option ROM for å demonstrere bruken av en Thunderbolt perifer som lastet det han refererer til som en “bootkit”.

Utviklet i 1980, Option ROM er valgfrie, perifer bestemt, utformet som en alternativ metode for lagring av kritiske programmer eller hente perifere spesifikke minneblokker. Initialisert tidlig i oppstartsprosessen, de vanligvis klamre seg til BIOS for å gi en oppstartbar enhet eller nettverk støvel. Enheter som kjører på Thunderbolt er utstyrt med sin egen Option ROM, noe som alle Apple bekrefte, er denne prosessen en del av maskinvaren sin egen oppstartssekvensen.

Hva Thunderstrike gjør er at den injiserer seg fra den infiserte Option ROM av Thunderbolt-enhet rett inn i systemets Extensible Firmware Interface eller EH. Ifølge EFI / UEFI dokumentasjon, bør fastvaren være låst som standard, noe som ville gjøre denne skadelige handlinger umulig.

Basert på Hudson forskning og testing, ting er ikke hva de synes å være. Hudson har påpekt at Option ROM spark i løpet av gjenopprettingsmodus oppstartsprosessen. I denne fasen, fortsetter Apple å sjekke EFI signatur selv. Hvis du endrer enten filstørrelsen eller dets innhold, vil det mislykkes sjekken, eller i det minste det burde ha hvis Hudsons forskerteamet ikke hadde kommet opp med en metode for å erstatte Apples lagret offentlig RSA nøkkel med ett under deres full kontroll.

Nå kan sluttbrukeren ikke oppdatere enhetens fastvare med en standard Apple bilde uten riktig RSA nøkkelen. Ethvert forsøk vil ikke passere godkjenning. Å ha denne grunnleggende nivå av tilgang til systemet, ville det være svært enkelt for en angriper å overvåke hele systemet, logge tastetrykk, registrere passorddata eller spor nettsteder. Hvis andre Thunderbolt-enheter er koblet til en kompromittert maskin, så bootkit kunne lett gitt videre til dem.

Kan ‘œevil hushjelp’ angrep anses gyldige vektorer?

Den eneste solstråle er at denne type angrep krever fysisk tilgang til systemet, selv for den korteste av øyeblikkene. Vanligvis er dette bare en teoretisk øvelse, men er Thunderstrike annerledes. Det første er at dette angrepet virker raskt. Det eneste angriperen trenger å gjøre er bare å plugge i Thunderbolt-enhet ved å holde inne strømknappen i noen sekunder, og det er gjort. Etter dette Thunderstrike vil selv installere og selv utføre i bare minutter. Den ordinære observatør vil bare se at oppstart syklusen tar litt lengre tid.

Ideen bak denne ‘œevil hushjelp “angrep er avhengig av konseptet med noen som har tilgang til systemet som den er låst i et hotellrom eller trygg. Dette er mulig å gjøre selv på konferanser, når folk forlater sine bærbare datamaskiner uten tilsyn for å bruke badet.

Mest urovekkende er en av Edward Snowden er lekkasje rapporter. Det gir ut detaljer om hvordan NSA avskjærer Dell eller HP-maskinvare underveis for rootkit dem, deretter pakke dem som ingenting har skjedd. Selv om vi er sikre på slike taktikker skje, er det trygt å anta at bedriftene som Thunderstrike kan være like verdifull som gull til verdens nasjonale etterretningsorganisasjoner.

Apples svar på dette er en patch som vil nekte Option ROM for å laste under firmware-oppdateringer. Det er ukjent når en sann og komplett løsning vil bli oppdaget.