Últimas Malware Apple: Imparável, indetectável e capaz de infectar dispositivos Thunderbolt

Esta é uma tradução automática melhorada deste artigo.

Comparado com os sistemas Windows, a Apple manteve a superioridade segurança por muitos e muitos anos. No entanto, o mais recente método de entrega de malware prova-de-conceito poderia pôr um fim a isso.

Apelidado de “Thunderstrike”, este malware é impossível de remover por métodos convencionais, a menos que você tenha acesso a hardware especializado. Trammel Hudson, um pesquisador de segurança usado para ROM Opção do dispositivo, a fim de demonstrar a utilização de um Thunderbolt periférico que carregado que ele se refere como um “bootkit”.

Desenvolvido em 1980, Option ROM são específicos opcional, periférica, concebido como um método alternativo de armazenar programas de críticas ou recuperação de blocos específicos periféricas da memória. Inicializado no início do processo de inicialização, eles geralmente se apegam-se à BIOS, a fim de proporcionar um dispositivo de arranque ou de inicialização de rede. Dispositivos que funcionam em Thunderbolt vêm equipados com a sua própria ROM Option, algo que todos a Apple verificar, este processo faz parte da própria seqüência de inicialização do hardware.

O que Thunderstrike faz é que ele injeta-se da ROM Opção infectada do dispositivo Thunderbolt direto para interface de firmware extensível do sistema ou EH. De acordo com a documentação / UEFI EFI, o firmware deve ser bloqueado por padrão, o que tornaria esta ação maliciosa impossível.

Com base em pesquisas e testes de Hudson, as coisas não são o que parecem ser. Hudson salientou que a ROM de opção nos chutes durante o processo de inicialização do modo de recuperação. Durante esta fase, a Apple continua a verificar a assinatura EFI si. Se você alterar o tamanho de ficheiro ou o seu conteúdo, ele irá falhar o cheque, ou pelo menos deveria ter se equipa de investigação de Hudson não tinha vindo com um método para substituir armazenados chave pública da Apple RSA com um sob seu completo controle.

Até agora, o usuário final não é possível atualizar o firmware do dispositivo de uma imagem padrão Apple sem a chave RSA correcto. Qualquer tentativa não vai passar a autenticação. Tendo este nível básico de acesso ao sistema, seria muito fácil para um atacante para monitorar todo o sistema, teclas, dados de senha registro ou sites Track Log. Se outros dispositivos Raio são ligados a uma máquina comprometida, então o Bootkit pode ser facilmente passado para eles.

Poderia ataques “empregada doméstica œevil ‘ser considerados vetores válidos?

O único raio de sol é que este tipo de ataque requer acesso físico ao sistema, mesmo que por um breve momento. Normalmente, este é apenas um exercício teórico, mas, Thunderstrike é diferente. A primeira coisa é que este ataque funciona rápido. A única coisa que o atacante precisa fazer é simplesmente conectar o dispositivo Thunderbolt, segure o botão de alimentação durante alguns segundos e ele é feito. Depois disso, Thunderstrike vai auto-instalação e auto-executar em poucos minutos. O observador comum só vai ver que o ciclo de inicialização demora um pouco mais.

A idéia por trás deste ataque “maid œevil ‘baseia-se no conceito de alguém ter acesso ao sistema, uma vez que está trancado em um quarto de hotel ou seguro. Isto é possível fazer ainda em conferências, quando as pessoas deixam seus laptops autônoma para usar o banheiro.

A coisa mais perturbadora é um dos relatos de vazamento de Edward Snowden. Ele dá detalhes de como a NSA intercepta hardware Dell ou HP en route, a fim de rootkit-los, em seguida, remontar-los como se nada tivesse acontecido. Embora estamos certos de tais táticas aconteça, é seguro assumir que façanhas como Thunderstrike pode ser tão valioso quanto ouro para as agências de inteligência nacionais do mundo.

A resposta da Apple para este é um patch que irá negar Option ROM para carregar durante as atualizações de firmware. Desconhece-se quando uma solução verdadeira e completa vai ser descoberto.