Viimeisimmät Apple Malware: Unstoppable, huomaamaton ja pystyy tartuttamaan Thunderbolt laitteet

Tämä on parannettu automaattinen käännös tämän artikkelin.

Verrattuna Windows-järjestelmissä, Apple on kyennyt ylläpitämään paremmuus monta, monta vuotta. Kuitenkin viimeisin proof-of-concept haittaohjelmia toimitustapa voi lopettaa sitä.

Lempinimeltään “Thunderstrike”, tämä haittaohjelma on mahdotonta poistaa tavanomaisilla menetelmillä, ellei sinulla on pääsy erikoislaitteita. Trammel Hudson, turvallisuus tutkija on käytetty laitteen Option ROM sen osoittamiseksi käyttö Thunderbolt reuna joka ladataan, mitä hän tarkoittaa sillä “bootkit”.

Kehitetty 1980, Option ROM ovat valinnaisia, reuna erityinen, suunniteltu vaihtoehtoinen tapa tallentaa tärkeät ohjelmat tai hakemalla reuna erityinen lohkojen muistia. Alustetaan aikaisin käynnistyksen, ne yleensä takertuvat itse BIOS jotta käynnistyslaitteina tai verkon käynnistyksen. Laitteet käynnissä Thunderbolt tullut varustettu omalla Option ROM, mikä kaikki Apple tarkistaa, tämä prosessi on osa laitteiston oman boot järjestyksessä.

Mikä Thunderstrike tekee on, että se ruiskuttaa itsensä tartunnan Option ROM Thunderbolt laitteen suoraan järjestelmän Extensible Firmware-liitännän tai EH. Mukaan EFI / UEFI asiakirjat, laiteohjelmiston pitäisi lukita oletuksena, mikä tekisi tästä haittaohjelmia toteuttamisen mahdottomaksi.

Perustuu Hudsonin tutkimukseen ja testaukseen, asiat eivät ole sitä miltä ne näyttävät. Hudson on huomauttanut, että Option ROM potkuja aikana palautustilassa käynnistystä. Tässä vaiheessa Apple jatkaa tarkistaa EFI allekirjoituksen itse. Jos muutat joko tiedostokoon tai sen sisältöä, se ei onnistu tarkistaa, tai ainakin sen pitäisi olla, jos Hudson tutkimusryhmä ei ollut keksiä tapa korvata Applen tallennettu julkinen RSA-avain yksi heidän täydellisen hallinnan.

Mennessä, loppukäyttäjä voi päivittää laitteen firmware tavallisella Apple kuvan ilman asianmukaista RSA. Mikä tahansa yritys ei läpäise tunnistusta. Ottaa tämä perustaso pääsyn järjestelmään, se olisi erittäin helppo hyökkääjä seurata koko järjestelmän, kirjaudu näppäimistön, tallentaa salasana tietoja tai raidan verkkosivuilla. Jos muut Thunderbolt laitteet on kytketty heikentynyt kone, sitten bootkit voitaisiin helposti siirtää niitä.

Voisiko “œevil piika” iskujen katsotaan päteväksi vektoreita?

Vain auringonsäde on, että tällainen hyökkäys edellyttää fyysistä pääsyä järjestelmään, jopa briefest hetkiä. Yleensä tämä on vain teoreettista vaan, Thunderstrike on erilainen. Ensimmäinen asia on, että tämä hyökkäys toimii nopeasti. Ainoa asia hyökkääjä tarvitsee tehdä, on yksinkertaisesti kytke Thunderbolt laitteen virtapainiketta muutaman sekunnin ja se on tehty. Tämän jälkeen Thunderstrike tulee itse asentaa ja itse suorittaa pelkkä minuuttia. Tavalliset tarkkailija näkee vain, että käynnistystä sykli kestää hieman kauemmin.

Ajatuksena “œevil piika” hyökkäys perustuu käsitteeseen joku, joilla on pääsy järjestelmään, koska se on lukittu hotellihuoneessa tai turvallista. Tämä on mahdollista tehdä jopa konferensseissa, kun ihmiset jättävät läppäreissä vartioimatta vessassa.

Suurin häiritsevä asia on yksi Edward Snowden: n vuotaa raportteja. Se antaa yksityiskohtia siitä, miten NSA sieppaa Dell tai HP: n laitteet matkalla jotta rootkit niitä, niin pakata ne mitään ei tapahtunut. Vaikka olemme varmoja tällainen taktiikka tapahtuu, se on turvallista olettaa, että heikkoutta kuten Thunderstrike voisi olla yhtä arvokas kuin kultaa maailman kansalliset tiedustelupalvelut.

Applen vastaus tähän on laastari, joka kieltää Option ROM ladata aikana firmware-päivitykset. Ei tiedetä, kun oikea ja täydellinen ratkaisu löydetään.