一众非Windows系统所一直标榜的一大亮点就是安全,但实际上这是因为非Windows系统占有量本身比较低,专门针对小数量级的开发恶意程序不划算,而且相对来说也的确是安全一些,但并不是绝对的安全。在下周德国举行的Chaos Communication Congress安全会议上,研究人员Trammell Hudson将展示一种新的方法,可以通过特殊制作的Thunderbolt设备可以在Mac EFI启动固件中注入几乎无法移除的Bootkit病毒,该漏洞利用了在2012年被发现,但一直未修复的Thunderbolt ROM的设计缺陷。
除了将任意代码写入Mac EFI启动固件,Bootkit病毒也可以自我复制到任意Thunderbolt设备。而且病毒存在于主板ROM上,即便重新安装Mac系统或更换硬盘也无法移除,甚至可以使用新加密匙替代苹果的加密密匙,阻止能移除病毒的固件升级。Hudson表示:“硬件和软件加密检查都无法验证固件真实性,当恶意代码被写入 ROM 后,它能控制系统,可以使用SMM和其他技术隐藏自己,避免被发现。”听起来非常牛,但是毕竟Thunderbolt设备目前并不普及,而且仅能通过本地传播在这个网络时代威胁不大,细细想想有点好莱坞电影里黑客的感觉。