Τελευταία της Apple Malware: Unstoppable, μη ανιχνεύσιμα και ικανός να μολύνει συσκευές Thunderbolt

Αυτή είναι μια βελτιωμένη αυτοματοποιημένη μετάφραση αυτού του άρθρου.

Σε σύγκριση με τα συστήματα των Windows, η Apple έχει διατηρήσει την υπεροχή της ασφάλειας για πολλά, πολλά χρόνια. Ωστόσο, η τελευταία μέθοδος malware παράδοση απόδειξη της ιδέας θα μπορούσε να βάλει ένα τέλος σε αυτό.

Το παρατσούκλι “Thunderstrike”, αυτό το κακόβουλο λογισμικό είναι αδύνατον να να αφαιρέσετε με συμβατικές μεθόδους, εκτός αν έχετε πρόσβαση σε εξειδικευμένο υλικό. Μανωμένο Hudson, ένας ερευνητής ασφάλειας έχει χρησιμοποιηθεί για την Option ROM της συσκευής, προκειμένου να αποδείξει τη χρήση του Thunderbolt περιφερειακών οποία φορτώνονται αυτό που αναφέρεται ως “bootkit”.

Αναπτύχθηκε το 1980, Option ROM είναι προαιρετική, περιφερική συγκεκριμένες, σχεδιάστηκε ως μια εναλλακτική μέθοδο για την αποθήκευση κρίσιμων προγραμμάτων ή ανάκτηση περιφερική συγκεκριμένα τμήματα της μνήμης. Προετοιμαστεί νωρίς στη διαδικασία εκκίνησης, που συνήθως οι ίδιοι προσκολλώνται στο BIOS, προκειμένου να παράσχει μια συσκευή με δυνατότητα εκκίνησης ή εκκίνησης δικτύου. Συσκευές που λειτουργούν με Thunderbolt έρχεται εξοπλισμένο με το δικό τους Option ROM, κάτι που επαληθεύει όλες της Apple, η διαδικασία αυτή είναι μέρος της ίδιας σειράς εκκίνησης του υλικού του.

Τι Thunderstrike κάνει είναι ότι η ίδια εγχέει από το μολυσμένο Option ROM της συσκευής Thunderbolt κατ ‘ευθείαν σε επεκτάσιμη διασύνδεση υλικολογισμικού του συστήματος ή EH. Σύμφωνα με την τεκμηρίωση / UEFI EFI, το firmware θα πρέπει να κλειδωθεί από προεπιλογή, η οποία θα κάνουν αυτό το κακόβουλο δράσης αδύνατη.

Με βάση την έρευνα και τις δοκιμές του Hudson, τα πράγματα δεν είναι αυτό που φαίνεται να είναι. Hudson έχει επισημάνει ότι το option ROM ξεκινά κατά τη διάρκεια της διαδικασίας εκκίνησης λειτουργία ανάκτησης. Κατά το στάδιο αυτό, η Apple συνεχίζει να ελέγχει την ίδια την υπογραφή EFI. Αν αλλάξετε είτε το μέγεθος του αρχείου ή του περιεχομένου της, θα αποτύχει στον έλεγχο, ή τουλάχιστον θα έπρεπε να έχει αν ερευνητική ομάδα Hudson δεν είχε καταλήξει σε μια μέθοδο για την αντικατάσταση αποθηκεύονται δημόσιο κλειδί RSA της Apple με ένα υπό πλήρη έλεγχο τους.

Μέχρι τώρα, ο τελικός χρήστης δεν μπορεί να ενημερώσει το firmware της συσκευής με ένα πρότυπο Apple εικόνα χωρίς το κατάλληλο κλειδί RSA. Οποιαδήποτε προσπάθεια δεν θα περάσει τον έλεγχο ταυτότητας. Έχοντας αυτό το βασικό επίπεδο της πρόσβασης στο σύστημα, θα ήταν πολύ εύκολο για έναν εισβολέα να παρακολουθήσει ολόκληρο το σύστημα, συνδεθείτε πληκτρολογήσεις, καταγραφή δεδομένων κωδικού πρόσβασης ή ιστοσελίδες κομμάτι. Αν οι άλλες συσκευές Thunderbolt συνδέεται με μια μειωμένη μηχανή, τότε η bootkit θα μπορούσε εύκολα να περάσει σε αυτούς.

Θα μπορούσε επιθέσεις «œevil υπηρέτρια» θεωρείται έγκυρο φορείς;

Η μόνη ηλιαχτίδα είναι ότι αυτό το είδος της επίθεσης απαιτεί φυσική πρόσβαση στο σύστημα, ακόμη και για τη συνοπτικότερη στιγμές. Συνήθως, αυτό είναι μόνο μια θεωρητική άσκηση, αλλά, Thunderstrike είναι διαφορετική. Το πρώτο πράγμα είναι ότι αυτή η επίθεση λειτουργεί γρήγορα. Το μόνο πράγμα που ο επιτιθέμενος πρέπει να κάνουμε είναι απλά να συνδέσετε τη συσκευή Thunderbolt, κρατήστε πατημένο το κουμπί λειτουργίας για λίγα δευτερόλεπτα και αυτό γίνεται. Μετά από αυτό, Thunderstrike θα αυτο-εγκατάσταση και αυτο-εκτέλεση σε λίγα λεπτά. Η τακτική παρατηρητής θα δει μόνο ότι ο κύκλος εκκίνηση διαρκεί λίγο περισσότερο.

Η ιδέα πίσω από αυτό το «œevil υπηρέτρια» επίθεση στηρίζεται στην έννοια κάποιου που έχουν πρόσβαση στο σύστημα, όπως είναι κλειδωμένο σε ένα δωμάτιο ξενοδοχείου ή ασφαλής. Αυτό είναι δυνατόν να γίνει ακόμη και σε συνέδρια, όταν οι άνθρωποι αφήνουν τους φορητούς υπολογιστές τους χωρίς επιτήρηση να χρησιμοποιήσει την τουαλέτα.

Πιο ενοχλητικό πράγμα είναι μία από τις εκθέσεις διαρροή Έντουαρντ Σνόουντεν του. Δίνει τις λεπτομέρειες για το πώς η NSA παρακολουθήσεις Dell ή της HP υλικού καθ ‘οδόν, προκειμένου να τους rootkit, τότε ανασυσκευασίας τους ως να μην συνέβη τίποτα. Αν και είμαστε σίγουροι τέτοιες τακτικές συμβεί, είναι ασφαλές να υποθέσουμε ότι εκμεταλλεύεται όπως Thunderstrike μπορεί να είναι τόσο πολύτιμο όπως ο χρυσός στις εθνικές υπηρεσίες πληροφοριών του κόσμου.

Απάντηση της Apple σε αυτό είναι ένα patch που θα αρνηθεί Option ROM για να φορτώσει κατά την ενημέρωση του υλικολογισμικού. Είναι άγνωστο πότε μια πραγματική και ολοκληρωμένη λύση θα ανακαλυφθούν.