Letzte Apple Malware: Unstoppable, nicht nachweisbar und infizieren kann Thunderbolt-Geräte

Dies ist eine verbessert automatische übersetzung dieses artikels.

Im Vergleich zu Windows-Systemen hat Apple Sicherheits Vorsprung für viele, viele Jahre erhalten bleibt. Allerdings könnte die neueste Proof-of-Concept-Malware Liefermethode einen Riegel vorschieben.

Spitznamen “Thunderstrike”, ist diese Malware unmöglich, mit herkömmlichen Verfahren zu entfernen, wenn Sie den Zugriff auf spezielle Hardware haben. Trammel Hudson, ein Sicherheitsexperte hat Option ROM-Geräts, um die Verwendung eines Thunderbolt Peripherie zeigen, verwendet werden, die geladen und versteht sich als ein “Bootkit”.

Entwickelt in den 1980er Jahren, sind Option ROM optional, Peripherie bestimmten, als alternative Methode der Speicherung von kritischen Programmen oder Abrufen von Peripherie bestimmte Speicherblöcke konzipiert. Früh im Boot-Prozess initialisiert, sie in der Regel klammern sich an das BIOS, um ein bootfähiges Gerät oder Netzwerk-Boot zu schaffen. Geräte auf Thunderbolt laufen sind sie mit ihren eigenen Option ROM, was alle von Apple zu verifizieren, ist dieser Prozess Teil der Hardware eigenen Boot-Sequenz.

Was Thunderstrike tut, ist, dass es sich spritzt aus der infizierten Option ROM des Thunderbolt-Gerät direkt in die Extensible Firmware Interface des Systems oder EH. Nach Angaben der EFI / UEFI-Dokumentation sollte die Firmware standardmäßig, die diese schädliche Aktion unmöglich machen würde gesperrt werden.

Basierend auf Hudsons Forschung und Tests, die Dinge sind nicht das, was sie zu sein scheinen. Hudson hat darauf hingewiesen, dass die Option ROM startet in während der Wiederherstellungsmodus Bootvorgang. Während dieser Phase gilt Apple als das EFI Signatur selbst zu überprüfen. Wenn Sie entweder die Dateigröße oder ihren Inhalt zu ändern, wird das Kontroll scheitern oder zumindest sollte es haben, wenn Hudson Forschungsteam hatte nicht kommen mit einer Methode, um gespeicherten öffentlichen RSA-Schlüssel von Apple mit einer unter ihre vollständige Kontrolle zu ersetzen.

Mittlerweile kann der Endbenutzer die Firmware des Gerätes mit einem Standard-Apple-Bild ohne die richtige RSA-Schlüssel nicht aktualisieren. Jeder Versuch wird die Authentifizierung nicht passieren. Nachdem diese Grundniveau der Zugriff auf das System, wäre es sehr einfach für einen Angreifer, das gesamte System zu überwachen, melden Sie Tastenanschläge, Rekordpasswortdaten oder Track Webseiten. Wenn andere Thunderbolt-Geräte an den übernommenen Computer angeschlossen ist, dann wird das Bootkit leicht an sie weitergegeben werden.

Könnte ‘œevil Trau Angriffe als gültig Vektoren werden?

Der einzige Lichtblick ist, dass diese Art von Angriff erfordert physischen Zugriff auf das System, auch für einen kurzen Moment. Normalerweise ist nur ein theoretischer Übung, sondern ist Thunder unterschiedlich. Die erste Sache ist, dass dieser Angriff arbeitet schnell. Das einzige, was der Angreifer tun muss, ist einfach in der Thunderbolt-Gerät anschließen, halten Sie die Power-Taste für einige Sekunden und es ist getan. Danach Thunderstrike wird selbst installieren und Selbst ausführen in wenigen Minuten. Der gewöhnliche Beobachter sehen nur, dass der Bootvorgang dauert etwas länger.

Die Idee hinter diesem ‘œevil Magd’ Angriff beruht auf dem Konzept von jemandem, der Zugriff auf das System, wie es in einem Hotelzimmer oder sicher verriegelt. Dies ist möglich, auch auf Konferenzen zu tun, wenn die Menschen ihre Laptops unbeaufsichtigt auf die Toilette gehen.

Beunruhigendste Sache gehört zu Edward Snowdens Leck Berichten. Es gibt aus Details, wie die NSA und fängt Dell oder HP-Hardware auf dem Weg, um sie Rootkit, dann packen sie als nichts geschah. Obwohl wir sicher sind, solche Taktiken passieren, ist es sicher anzunehmen, dass Exploits wie Thunderstrike könnten so wertvoll wie Gold, nationale Geheimdienste der Welt sein.

Antwort von Apple, dies ist ein Patch, der Option ROM leugnen während Firmware-Updates lädt. Es ist nicht bekannt, wenn eine echte und vollständige Lösung wird entdeckt zu werden.