| 29 сен 2017 — 5:57 PT
Анализ более 73 000 Mac показал, что примерно 4,2% из них использовали неправильную прошивку, оставляя их уязвимыми для таких атак, как Thunderstrike. Для одной модели этот процент составлял ошеломляющие 43%.
Эксплойты прошивки являются одними из самых опасных, поскольку они потенциально дают злоумышленнику полный контроль над машиной, не обнаруживаются сканерами безопасности macOS и остаются на месте, даже если вы отформатируете или замените диск и выполните чистую установку macOS…
Thunderstrike был продемонстрирован еще в 2014 году. Он показал, как злоумышленник, *имеющий физический доступ* к Mac, может перезаписать прошивку, подключив устройство Thunderbolt. Как только скомпрометированная прошивка установлена, ее нельзя перезаписать, поскольку она заменяет ключ RSA Apple своим собственным.
Хотя обновления безопасности с тех пор должны защищать Mac от этой и подобных атак, исследование показало, что по какой-то причине эти обновления применяются не всегда. ArsTechnica сообщает, что, хотя лишь небольшое количество машин были уязвимы к самой Thunderstrike, они могли подвергаться риску подобных атак, и вызывает беспокойство тот факт, что многие другие использовали неправильную прошивку без видимого объяснения.
В среднем 4,2% проанализированных Mac использовали версии EFI, отличные от предписанных для модели оборудования и версии ОС. 47 моделей Mac оставались уязвимыми к оригинальной Thunderstrike, а 31 — к Thunderstrike 2. По крайней мере, 16 моделей вообще не получили обновлений EFI. Обновления EFI для других моделей проходили с переменным успехом: 21,5-дюймовый iMac, выпущенный в конце 2015 года, возглавил список — 43% выборки использовали неправильную версию.
Duo Security заявила в белой книге, представленной сегодня, что ее данные указывают на то, что 16 различных моделей Mac — от MacBook Air до Mac Pro — вообще не получат обновлений прошивки EFI.
Фирма советует владельцам Mac убедиться, что они используют macOS 10.12.6, так как это должно включать последнюю прошивку. Вскоре она выпустит небольшое приложение, которое проверит вашу прошивку и сообщит, обновлена ли она.
Duo, однако, подчеркивает в посте в блоге, что домашние пользователи вряд ли подвергнутся риску, поскольку атаки на прошивку обычно нацелены на конкретных пользователей.
Если вы домашний пользователь Mac, который попадает в одну из вышеуказанных категорий в качестве своего персонального компьютера, то, по нашему мнению, небо не падает. Атаки на EFI до сих пор были частью инструментария, используемого продвинутыми противниками, которые нацелены на конкретные высокоценные цели. О таких противниках часто говорят в том же ключе, что и о атаках государственных структур и промышленном шпионаже.
Большинство обычных домашних пользователей находятся далеко за пределами этой модели атаки, и, к счастью, насколько нам известно, нет ни одного эксплойта EFI, который используется как часть стандартных наборов эксплойтов, вредоносного ПО или программ-вымогателей, обнаруженных в дикой природе.
Это в основном вызывает беспокойство у бизнеса и государственных учреждений.
В заявлении для ArsTechnica Apple заявила, что благодарна за исследование, и отметила, что High Sierra еженедельно автоматически проверяет актуальность прошивки.
Мы ценим работу Duo над этой отраслевой проблемой и отмечаем ведущий подход Apple к решению этой задачи. Apple продолжает усердно работать в области безопасности прошивки, и мы всегда ищем способы сделать наши системы еще более безопасными. Чтобы обеспечить более безопасный опыт в этой области, macOS High Sierra автоматически еженедельно проверяет прошивку Mac.
Duo отметил, что компьютеры с Windows, вероятно, более уязвимы, чем Mac, поскольку практически невозможно проверить правильную версию прошивки для любого конкретного ПК.
В то время как Apple несет единоличную ответственность за поставку материнских плат для Mac, существует большое количество производителей, поставляющих материнские платы для машин Windows и Linux, причем каждый производитель поставляет значительно отличающиеся семейства прошивок.
Duo специально изучала Mac именно потому, что каждая модель должна иметь известную версию прошивки. Вывод: как можно скорее обновите свой Mac до последней версии программного обеспечения.
Смотрите 9to5Mac на YouTube для получения большего количества новостей об Apple: