针对苹果电脑的ROM级恶意程序Thunderstrike

  近日,安全研究人员发现一种让苹果电脑感染ROM级恶意程序的方法。

  老漏洞新利用

  这个攻击由编程专家Trammell Hudson在德国汉堡举办的年度混沌计算机大会上展现,他证明这将使重写苹果Mac计算机固件成为可能。

  这种攻击被命名为“Thunderstrike”。它实际上利用了一个在ThunderboltOption ROM中有些历史的漏洞,该漏洞在2012年首次被发现但仍未修补。通过受感染的Thunderbolt设备在苹果电脑的boot ROM中分配一段恶意程序,Thunderstrike 将可以感染苹果可扩展固件接口(EFI)。

  恶意程序无法删除

  根据该研究人员所说,这种攻击非常危险,因为恶意程序实际上是存在于系统独立的ROM中,故还没有方法让用户去检测到这种攻击或者是删除它,即使是完全重装OS X系统也无法删除。

  “鉴于boot ROM独立于操作系统,因此重装OSX系统也无法删掉该恶意程序。此外,由于它也不需要存储在磁盘上,所以即使更换硬盘也无法解决。唯一的解决方案是重新刷入安全的固件才可以恢复。”

  Hudson还表示他可以用一个新的密钥来替换苹果自己的密钥,这将导致电脑拒绝接受合法的固件升级。

  “在系统启动的时候,既没有硬件也没有软件方式的针对固件有效性的密码检测,所以一旦恶意程序被刷进了ROM中,它将从第一条指令开始就控制了整个系统”

  除了编写自定义代码到boot ROM中,Hudson的演讲中还指出一个方法,该方法使得bootkit可以自我复制到任何附加的Thunderbolt设备中,使它具有甚至通过网络传播的能力。

  目前苹果公司已经在最新的Mac mini和5K视网膜显示屏的iMac上修补了部分漏洞。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:Android浏览器跨域数据窃取和Intent Scheme攻击