Ostatnie Jabłko Malware: Unstoppable, niewykrywalne i zdolne do infekowania urządzeń Thunderbolt

To jest lepsze automatyczne tlumaczenie tego artykulu.

W porównaniu do systemów Windows, Apple utrzymuje przewagę bezpieczeństwa przez wiele, wiele lat. Jednak najnowsza metoda dostarczania szkodliwego oprogramowania proof-of-concept może położyć kres tym.

 Nazywany “Thunderstrike”, szkodnik ten jest niemożliwe do usunięcia za pomocą konwencjonalnych metod, chyba że masz dostęp do specjalistycznego sprzętu. Trammel Hudson, badacz bezpieczeństwa jest używany do Option ROM urządzenia, w celu wykazania użycie piorun peryferyjnych, które ładowane, co odnosi się do jako “bootkita”.

Opracowany w 1980, Option ROM są opcjonalne, specyficzne obwodowych, zaprojektowany jako alternatywnego sposobu przechowywania programów krytycznych lub pobierania peryferyjnych określonych bloków pamięci. Zainicjowany na początku procesu uruchamiania, zwykle trzymają się do BIOS-u, aby zapewnić urządzenie rozruchowe lub rozruchu sieciowego. Urządzenia działające na Thunderbolt są standardowo wyposażone w ich własnym Option ROM, coś, co wszystkie firmy Apple weryfikacji, proces ten jest częścią sekwencji rozruchu własnego sprzętowego.

Co Thunderstrike nie jest to, że wstrzykuje się z zainfekowanego Option ROM urządzenia Thunderbolt prosto w Extensible Firmware Interface systemu lub EH. Zgodnie z dokumentacją / UEFI EFI Firmware należy domyślnie zablokowane, która wprowadzi ten szkodliwy działania niemożliwe.

Na podstawie badań i testów Hudsona, rzeczy nie są tym, czym wydają się być. Hudson podkreślił, że Option ROM rozpoczyna się w trakcie procesu uruchamiania trybu odzyskiwania. Na tym etapie firma Apple nadal jest sprawdzić podpis samego EFI. Jeśli je zmienić rozmiar pliku lub jego treści, to nie powiedzie się test, a przynajmniej powinien mieć, jeśli zespół badawczy Hudson nie wymyślił sposobu zastąpienia przechowywane publicznego klucza RSA Apple z jednym pod ich całkowitą kontrolą.

Do teraz, użytkownik nie może zaktualizować firmware urządzenia z standardowym firmy Apple obrazu bez właściwego klucza RSA. Każda próba nie przejdzie uwierzytelniania. Mając ten podstawowy poziom dostępu do systemu, byłoby to bardzo łatwe dla atakującej monitorowanie całego systemu, klawiszy, hasła i dane rekordowe stron toru zalogować. Jeśli urządzenia Thunderbolt są połączone z zaburzeniami urządzenia, a następnie Bootkit może być łatwo przenoszone na nich.

Mógłby ataki “œevil pokojówka” uznane za ważne wektory?

Tylko promień słońca jest to, że ten rodzaj ataku wymaga fizycznego dostępu do systemu, nawet na krótko chwil. Zazwyczaj jest to tylko teoretyczne ćwiczenia, ale Thunderstrike jest inna. Pierwszą rzeczą jest to, że atak ten działa szybko. Jedyną rzeczą, atakujący musi zrobić, to po prostu podłącz do urządzenia Thunderbolt, przytrzymaj przycisk zasilania na kilka sekund i to jest zrobione. Po tym, Thunderstrike będzie samodzielnie zainstalować i uruchomić własny w zaledwie kilka minut. Zwykła obserwator widzi tylko, że cykl uruchamianie trwa trochę dłużej.

Ideą “œevil pokojówka” ataku opiera się na koncepcji osoby mającej dostęp do systemu, ponieważ jest zablokowana w pokoju hotelowym lub bezpieczne. Jest to możliwe do zrobienia, nawet na konferencjach, gdy ludzie opuszczają swoje laptopy bez nadzoru, aby skorzystać z łazienki.

Najbardziej niepokojące jest to jeden z raportów wycieków Edward Snowden jest. Daje się szczegółów jak NSA przechwytuje Dell lub HP sprzętu na trasie, w celu ich rootkita, a następnie przepakowania ich jak nic się nie stało. Choć jesteśmy pewni, taka taktyka się zdarzyć, że można bezpiecznie założyć, że czyny takie jak Thunderstrike może być tak samo cenne jak złoto na światowych krajowych agencji wywiadowczych.

Odpowiedź na to Apple jest poprawka, która odmówi Option ROM do ładowania podczas aktualizacji oprogramowania układowego. Nie wiadomo, kiedy prawdziwe i kompletne rozwiązanie zostanie odkryta.