Nieuwste Apple-Malware: Unstoppable, niet op te sporen en kunnen infecteren Thunderbolt-apparaten

Dit is een improved automatische vertaling van dit artikel.

In vergelijking met Windows-systemen, heeft Apple de beveiliging superioriteit gehandhaafd voor vele, vele jaren. Echter, de laatste proof-of-concept malware levering methode een einde te maken aan dat.

Bijgenaamd “Thunderstrike”, deze malware is onmogelijk om te verwijderen door middel van conventionele methoden, tenzij u toegang tot gespecialiseerde hardware. Trammel Hudson, heeft een security-onderzoeker gebruikt om het apparaat van Option ROM met het oog op het gebruik van een Thunderbolt perifere aantonen welke geladen wat hij noemt een ‘bootkit “.

Ontwikkeld in 1980, Option ROM zijn optioneel, perifere specifieke, ontworpen als een alternatieve methode voor het opslaan kritische programma’s of het ophalen van perifere specifieke blokken van het geheugen. Vroeg geïnitialiseerd in het opstartproces, zijn ze meestal vastklampen zich aan de BIOS om een ​​bootable apparaat of netwerk boot bieden. Apparaten die draaien op Thunderbolt zijn uitgerust met hun eigen Option ROM, iets wat alle Apple te controleren, dit proces is een deel van de hardware van de eigen boot sequence.

Wat Thunderstrike doet is dat het zichzelf injecteert uit de besmette Option ROM van de Thunderbolt-apparaat direct in Extensible Firmware Interface van het systeem of de EH. Volgens de EFI / UEFI documentatie, moet de firmware standaard afgesloten zijn, die deze schadelijke actie onmogelijk zou maken.

Op basis van de Hudson’s onderzoek en testen, de dingen niet zijn wat ze lijken te zijn. Hudson heeft erop gewezen dat de Option ROM kicks in tijdens de recovery mode opstarten. Tijdens deze fase, Apple blijft de EFI handtekening zelf te controleren. Als u ofwel de bestandsgrootte of de inhoud te wijzigen, zal het de cheque falen, of in ieder geval het zou moeten hebben als Hudson’s onderzoeksteam niet omhoog was gekomen met een methode om Apple’s opgeslagen openbare RSA-sleutel met één vervangen onder hun volledige controle.

Inmiddels kan de eindgebruiker niet de firmware van het apparaat een standaard afbeelding Apple zonder de juiste RSA-sleutel met werken. Elke poging zal de authenticatie niet voorbij. Het hebben van dit basisniveau van toegang tot het systeem, zou het heel gemakkelijk voor een aanvaller om het hele systeem te volgen, log toetsaanslagen, wachtwoord data record of track websites. Als andere Thunderbolt apparaten zijn verbonden met een gecompromitteerde machine dan de bootkit kan gemakkelijk doorgegeven aan hen.

Kon ‘œevil meid’ aanvallen worden als geldig beschouwd vectoren?

De enige zonnestraal is dat dit soort aanvallen vereist fysieke toegang tot het systeem, zelfs voor de kortste van momenten. Meestal is dit slechts een theoretische oefening maar Thunderstrike is anders. Het eerste ding is dat deze aanval werkt snel. Het enige wat de aanvaller moet doen is gewoon de stekker in het Thunderbolt-apparaat, houdt u de knop voor een paar seconden en het wordt gedaan. Na deze, Thunderstrike zal zichzelf installeren en zelf uit te voeren in slechts enkele minuten. De gewone waarnemer ziet alleen dat het opstarten cyclus duurt een beetje langer.

Het idee achter deze ‘œevil meid’ aanval is gebaseerd op het concept van iemand die toegang hebben tot het systeem zoals het is opgesloten in een hotelkamer of een kluisje. Dit is mogelijk te doen, zelfs op conferenties, wanneer mensen laten hun laptop onbeheerd aan de badkamer te gebruiken.

Meest verontrustende ding is één van Edward Snowden’s lek rapporten. Het geeft uit de details van hoe de NSA slim Dell of HP-hardware onderweg om ze rootkit, dan herverpakken hen als er niets gebeurd is. Hoewel we er zeker van dergelijke tactiek gebeuren, is het veilig om te veronderstellen dat exploits zoals Thunderstrike zo waardevol als goud om de nationale inlichtingendiensten van de wereld zou kunnen zijn.

Apple’s antwoord op dit is een patch die Option ROM zal ontkennen om te laden tijdens het firmware-updates. Het is onbekend wanneer een echte en volledige oplossing zal worden ontdekt.