Mac World

На хакерской конференции продемонстрировали взлом Mac через Thunderbolt

8
11

В рамках хакерской конференции Chaos Computer Congress в Гамбурге разработчик Трэммелл Хадсон продемонстрировал уязвимость компьютеров Mac, позволяющую переписать прошивку ROM через интерфейс Thunderbolt. Буткит был загружен на компьютер с помощью модификации Thunderbolt Option ROM, обойдя проверку криптографической подписи в расширяемом интерфейсе прошивки (EFI) во время процедуры обновления.

thund-1

Относительно новый тип атаки, получивший название Thunderstrike, подробно обсуждался в рамках лекции «Буткиты EFI для Apple MacBook». Такой буткит способен пережить переустановку OS X. Он успешно противостоит попыткам удаления со стороны программного обеспечения и способен распространяться от ноутбука к ноутбуку, заражая Thunderbolt-устройства, которые подключаются к инфицированному компьютеру.

«Так как ROM является независимой операционной системой, переустановка OS X не приводит к удалению буткита. Он полностью контролирует компьютер сразу после его включения, и зловред нельзя удалить стандартными средствами», – рассказал хакер.

По словам Хадсона, во время загрузки ROM не осуществляется никаких криптографических проверок. Таким образом, после успешной перепрошивки материнской платы буткит полностью контролирует Mac сразу после его включения, и «зловред» нельзя удалить стандартными средствами. Он может использовать SMM, виртуализацию и другие техники для уклонения от попыток обнаружения.

voner-th-2

Разработанный концептуальный буткит также заменяет RSA-ключ от Apple в ROM, чтобы предотвратить будущие попытки обновления прошивки посторонними.

Как рассказал Хадсон, Apple частично закрыла уязвимость в последних модификациях Mac mini и iMac с дисплеем Retina и, вероятно, устранит баг в следующих моделях MacBook.

8 комментариев

Написать комментарий