Apple MacBook用戶不再安全地免受惡意軟件攻擊,因為其雷電端口中的新安全缺陷可能會使筆記本電腦易受傷害。
端口中的缺陷使MacBook啟動ROM中的自定義代碼的編寫。
安全專家Tramell Hudson找到了一種方法,可以在MacBooks上的內置芯片上安裝惡意代碼:Thunderstrike是您和您的筆記本電腦的新噩夢。
無法檢測到ThunderStrike,也沒有可用的已知方法(除非使用專門的硬件),這將消除幾乎無法刪除惡意軟件的方法。如果試圖刪除硬盤,則將仍然保留惡意軟件。
雷電惡意軟件如何工作?
通過使用受感染的主機,黑客可以通過有缺陷的雷電端口安裝rootkit。 BIOS或固件是針對的。安裝了rootkit後,它可以使用Mac上的內部雷電接口感染其他設備。通過這種方式,感染可以在不同的設備之間擴散。
攻擊者能夠在設備主板上的SPI Flash ROM上寫不信任的代碼。當前,設備靴時尚無可用的加密固件檢查。因此,惡意代碼能夠從初始指令中控制設備,並設法未被發現。
“由於這是第一個OS X固件啟動套件,因此目前沒有什麼可以掃描它的存在。它可以從第一個指令中控制系統,該指令可以將其記錄在包括磁盤加密鍵,包括磁盤加密鍵,將後部放入OS X內核和旁路固件密碼,”著名的哈德森。
哈德森說,即使重新安裝了操作系統,由於啟動ROM不取決於設備的操作系統,因此惡意軟件也會持續存在。刪除ThunderStrike的唯一方法是通過另一台Thunderbolt設備,該設備可能會將Flash ROM恢復為原始配置。
哈德森(Hudson)在2014年12月在德國舉行的年度混亂通訊大會上透露了對MacBooks的概念證明攻擊。
雷聲造成的損害是巨大的。它可以損害整個操作系統,並允許對數據進行遠程訪問,這通常無法從固件中訪問。
根據哈德森的說法,蘋果顯然正在為漏洞推出一個“部分修復”,這將作為固件更新。在某些情況下,此更新將不允許在ROM上寫惡意代碼。
