| 23 марта 2017 г. — 8:44 PT
Обновление: Apple отреагировала на сегодняшние документы WikiLeaks:
Apple statement on this morning’s Wikileaks Vault 7 documents pic.twitter.com/8oPgbXrzox
— Russell Brandom (@russellbrandom) March 24, 2017
В рамках своих текущих усилий по публикации правительственных документов по безопасности, WikiLeaks опубликовал последнюю часть своей коллекции Vault 7. Этот релиз под названием «Dark Matter» содержит документы, демонстрирующие различные проекты, предпринятые ЦРУ для заражения компьютерных систем Apple и iPhone. Сообщается, что заражения Mac несколько серьезнее, поскольку они затрагивают EFI и сохраняются даже после переустановки.
Проект Sonic Screwdriver, метко названный в честь гаджета из «Доктора Кто», который открывает практически все, является зловещим, поскольку он может легко заражать другие системы. Проект может быть запущен с USB-накопителя или даже с адаптера Apple Thunderbolt-to-Ethernet с модифицированной прошивкой.
Согласно тому, что WikiLeaks опубликовал, документы утверждают, что атака может произойти, даже если компьютер заблокирован паролем прошивки. Этот эксплойт очень похож на то, что обнаружил Педро Вилака в середине прошлого года.
Другие проекты эксплойтов ЦРУ направлены на сохранение постоянства EFI после установки. EFI, или Extensible Firmware Interface, является эквивалентом BIOS в системах ПК от Apple. Поскольку он «встроен» в каждый Mac, удаление или очистка EFI не происходит при переустановке macOS с нуля. В новом релизе «Dark Matter» WikiLeaks сообщает, что DarkSeaSkies конкретно имплантируется в EFI на компьютерах MacBook Air. Они утверждают, что это комбинация инструментов DarkMatter, SeaPea и NightSkies, которые «имплантируются» соответственно в EFI, пространство ядра и пользовательское пространство.
Потенциально более пугающим в этом релизе является руководство для инструмента NightSkies, созданного специально для iPhone. Версия NightSkies 1.2 была выпущена с 2008 года, и, по данным WikiLeaks, она была специально разработана для установки на «абсолютно новые iPhone». Это привело WikiLeaks к убеждению, что «ЦРУ заражает цепочку поставок iPhone своих целей как минимум с 2008 года».
Относительно последнего комментария, специалист по безопасности Уилл Страфах поделился, что публикация WikiLeaks сегодня не дает никаких указаний на то, что телефоны, не входящие в цепочку поставок, подвергались прямому заражению. По словам Страфаха: «Упоминание «цепочки поставок» вводит в заблуждение, поскольку оно не подтверждено исходными документами. Использовался термин «абсолютно новый», что указывает на просто новое устройство, но не означает, что имело место какое-либо заражение на заводе. Кроме того, другие документы ясно дают понять, что этот набор инструментов предназначен для использования на устройстве, которое будет передано цели оператором или агентом».
Как и в случае большинства подобных утечек за последние недели, многие из этих релизов описывают уязвимости программного обеспечения, которых больше не существует. Страфах напомнил в Twitter, что ни одна из этих уязвимостей не является новой и не должна вызывать беспокойства.
https://twitter.com/chronic/status/844914910589005825
Из краткого резюме WikiLeaks, опубликованного сегодня, следует, что все эти уязвимости требовали физического доступа к машинам жертв. Самые последние выпуски безопасности, по-видимому, связаны с уязвимостями многолетней давности, которые Apple уже признала устраненными.
Хотя эти уязвимости могут быть исправлены и устранены на устройствах с самым последним программным обеспечением, остается вопрос, что еще существует и еще не раскрыто.
Подпишитесь на 9to5Mac на YouTube для просмотра дополнительных видео