| 30 декабря 2014 г. — 6:05 PT
Исследователь безопасности, выступавший на Chaos Computer Congress в Гамбурге, продемонстрировал взлом, который перезаписывает прошивку Intel Mac с помощью устройства Thunderbolt с кодом атаки в опциональном ПЗУ. Известный как Thunderstrike, концепция доказательства, представленная Трэммелом Хадсоном, заражает Apple Extensible Firmware Interface (EFI) таким образом, что, по его утверждениям, его нельзя обнаружить или удалить путем переустановки OS X.
Поскольку загрузочное ПЗУ не зависит от операционной системы, переустановка OS X не удалит его. Оно также не зависит ни от чего, хранящегося на диске, поэтому замена жесткого диска не имеет эффекта. Единственный способ восстановить стандартную прошивку — это использовать устройство внутрисистемного программирования.
Apple уже внедрила предполагаемое исправление в последний Mac mini и iMac с Retina-дисплеем, которое, по словам Хадсона, скоро будет доступно для других Mac, но на данном этапе оно обеспечивает лишь частичную защиту…
После установки прошивку невозможно удалить, поскольку она заменяет общедоступный RSA-ключ Apple, что означает, что дальнейшие обновления прошивки не будут выполняться, если они не подписаны закрытым ключом злоумышленника. Взломанная прошивка также может самовоспроизводиться, копируя себя в опциональные ПЗУ других устройств Thunderbolt, подключенных к скомпрометированному Mac во время перезапуска. Эти устройства остаются функциональными, что делает невозможным узнать, что они были модифицированы.
Хорошая новость заключается в том, что метод атаки требует физического доступа к вашему Mac, и Хадсон не осведомлен о каких-либо загрузочных вирусах для прошивки Mac в реальном мире. Однако он отмечает, что нет никакой возможности быть уверенным.
Ранее предполагалось, что АНБ использовало аналогичные методы атаки, физически перехватывая поставки для установки загрузочных вирусов до того, как компьютеры достигнут своих покупателей. Оказавшись в реальном мире, взломанная прошивка может быть легко распространена чем-то столь кажущимся безобидным, как монитор Thunderbolt в бизнес-центре отеля.
Слайды с презентации Хадсона доступны на Flickr, а видео теперь доступно. Хадсон говорит, что он был в контакте с Apple относительно уязвимостей EFI, и что его слайды содержат достаточный «псевдокод», чтобы позволить другим проверить взлом, не делая его слишком легким для эксплуатации.
Презентация следует за предыдущей, в которой хакер, который в прошлом году использовал отпечатки пальцев для обмана Touch ID, предположил, что можно повторить атаку, используя только фотографию пальца.