一名安全專家已經發現一種方法,可以在蘋果筆記本電腦的微芯片中安裝惡意代碼。而且這種惡意代碼無法被刪除,即使更換整個硬盤都不行。
這種惡意代碼被稱為Thunderstrike,現在幾乎不可能被發現,它只需要襲擊者短時間接觸一臺電腦即可。由于這是一種全新惡意代碼,目前還沒有安全軟件可以找到它。
效力于紐約對沖基金Two Sigma Investments的安全專家特拉梅爾·哈德遜(Trammell Hudson)說,這一發現源于他的雇主要求他檢查蘋果筆記本電腦的安全性。他說:“當時我們正考慮引入MacBook,我被要求利用逆向工程經驗調查Mac上的惡意軟件。”
哈德遜首先拆卸了一臺蘋果筆記本電腦,以便進入啟動代碼(Boot rom)。這種微芯片內含有代碼,可以在主操作系統安裝前啟動和運行電腦。惡意代碼可能藏在這里,它們與藏身硬盤中的其他正常病毒不同,無法被移除。這就是眾所周知的bootkit攻擊。這種代碼可讓攻擊者隨心所欲,從暗中觀察用戶到泄漏電腦上敏感信息等。
盡管此前已經有許多研究人員發現,修改蘋果筆記本ROM內容會導致電腦完全無法使用,但這卻可作為一種安全措施,查看ROM內容是否存在改動痕跡,并在發現不妥時關閉電腦。但哈德遜卻能夠規避這些檢查,安裝他想要的任何代碼。
哈德遜說,這些安全措施總是“注定失敗”和“無用的”,因為任何可檢查ROM內容的人,同樣也能發現ROM內容是否發生變化的代碼。相反,應該對某些不容易進行改變的硬件芯片進行檢查。
哈德遜還進一步發現,這種攻擊甚至無需將電腦與芯片進行物理拆分,只需使用Thunderbolt端口即可。從理論上說,只需要按照下列簡單步驟進行,任何設備都可被用于安裝惡意代碼,包括監控器、硬盤以及打印機等。
哈德遜說:“由于這是第一種OS X固件bootkit,目前還沒有安全軟件可發現它。它從第一指令系統控制電腦,允許其記錄擊鍵,包括磁盤加密密匙,在OS X的內核和旁路固件密碼中安插后門等。它無法被安全軟件刪除,因為其控制自簽名密匙和更新程序。OS X的重新安裝也無法刪除它。更換SSD也不行,因為其根本不在硬盤中存儲任何數據。”
哈德遜還稱:“在進入你的筆記本電腦數分鐘后,Thunderstrike就允許啟動ROM固件被取代,無論固件是否有密碼或磁盤是否加密。Thunderstrike的當前形態可以對我測試過的任何攜帶Thunderbolt端口的筆記本有效,包括MacBook Pro、Air以及Retina等。”
哈德遜表示,蘋果推出了“局部修復”方案,因為固件升級在某些情況下可以阻止ROM被惡意代碼覆蓋重寫,但這不是絕對,比如當電腦安裝有惡意迅雷設備插件時重啟就不行。哈德遜稱他2013年首次發現公司電腦中的漏洞,但至今有些電腦依然容易受到黑客攻擊,黑客可哄騙電腦“降級”軟件版本,這些版本的軟件不含有新的補丁,因此更容易受到攻擊。
哈德遜認為,唯一可預防此類攻擊的方法是用你自己的代碼覆蓋ROM內容,這可以禁止任何通過Thunderbolt端口的類似遠程攻擊。然后給你的筆記本電腦涂上指甲油,以發現任何未經授權的ROM物理訪問。可是,這些復雜的措施都很消耗時間。蘋果目前還未對此發表評論.
京公網安備 11010502049343號