Apple устранила уязвимость OS X Yosemite, позволяющую взламывать Mac через Thunderbolt

Apple исправила в шестой бета-версии OS X Yosemite 10.10.2 уязвимость, позволяющую проводить атаки на компьютеры через интерфейс Thunderbolt. Об этом сообщает портал TidBITS.

О появлении первого буткит для Mac стало известно в конце 2014 года. Он был написан специалистом по информационной безопасности Траммелем Хадсоном, который назвал его Thunderstrike. Буткит — это вредоносная программа, которая модифицирует загрузочный сектор накопителя в компьютере, позволяя обойти любую защиту от несанкционированного доступа на низком уровне.

Хадсон обнаружил, что при перезагрузке Mac в режиме восстановления система опрашивает накопитель, подключенный к разъему Thunderbolt. И если на этом устройстве находится какая-либо загрузочная микропрограмма, то система сначала проверяет ее на подлинность и, если проверка прошла успешно, исполняет.

Эксперт нашел уязвимость в методе проверки подлинности и научился обманывать систему, заставляя ее запускать произвольный код. Затем он написал непосредственно сам буткит, который меняет стандартную прошивку Mac, отвечающую за запуск операционной системы при включении или перезагрузке компьютера.

Для Thunderstrike не являются помехой ни парольная защита, ни шифрование данных на диске, так как взлом происходит до того, как они вступают в силу. Кроме того, так как вредоносный код записывается в загрузочный сектор диска, его никак нельзя обнаружить.

Чтобы защитить Mac от атак типа Thunderstrike, специалистам Apple пришлось изменить часть кода операционной системы, защитив загрузочный сектор от перезаписи. Как рассказали авторы издания, данное изменение потребовало вмешательства в ОС на низком уровне. Ранее Apple ликвидировала данную «дыру» безопасности в iMac с дисплеем Retina 5K и Mac mini выпуска 2014 года.

Напомним, что в OS X Yosemite 10.10.2 Apple также устранила ряд других угрожающих безопасности пользователей Mac уязвимостей. Сведения о них обнародовала Google в рамках Google Project Zero.