Хакер рассказал о возможности взлома Mac через Thunderbolt

Компьютеры Mac подвержены заражению буткитами, которые проникают в операционную систему через устройства, подключенные по интерфейсу Thunderbolt. Об этом пишет Xakep со ссылкой на разработчика Трэммелла Хадсона, обнаружившего уязвимость.

Относительно новый тип атаки, получившей название Thunderstrike, будет подробно обсуждаться 29 декабря 2014 года на хакерской конференции Chaos Communication Congress в Гамбурге, тема лекции – «Буткиты EFI для Apple MacBook».

Хадсон объясняет, что буткит устанавливается с помощью модификации Thunderbolt Option ROM и обходит проверку криптографической подписи в расширяемом интерфейсе прошивки (EFI) во время процедуры обновления. Интерфейс EFI в современных компьютерах пришёл на смену старому BIOS.

Такой буткит способен пережить переустановку OS X и замену жёсткого диска. Он успешно противостоит попыткам удаления со стороны программного обеспечения и способен распространяться от ноутбука к ноутбуку, заражая Thunderbolt-устройства, которые подключаются к инфицированному компьютеру.

По словам хакера, во время загрузки ROM не осуществляется никаких криптографических проверок. Таким образом, после успешной перепрошивки материнской платы буткит полностью контролирует компьютер сразу после его включения, и «зловред» нельзя удалить стандартными средствами. Он может использовать SMM, виртуализацию и другие техники для уклонения от попыток обнаружения.

Разработанный концептуальный буткит также заменяет RSA-ключ от Apple в ROM, чтобы предотвратить будущие попытки обновления прошивки посторонними.

Уязвимость в Thunderbolt Option ROM известна уже два с половиной года (её можно устранить, заменив всего несколько байт в прошивке). Теперь готов инструмент, эксплуатирующий баг, присутствующий в миллионах устройств.