在下周德国举行的 Chaos Communication Congress 安全会议上,研究人员 Trammell Hudson 将展示一种新方法,通过独特制作的 Thunderbolt 设备在 Mac EFI 启动固件中注入几乎无法没移除的 Bootkit 病毒。该漏洞利用了 Thunderbolt ROM 中的设计缺陷,首次在2012年被发现,却一直没有被修正。
除了将任意代码写入启动 ROM,Hudson 还将展示 bootkit 病毒自我复制至任意 Thunderbolt 设备的方法,会让大量 Thunderbolt 会中招,并感染更多 Mac 电脑。
由于病毒代码存在于主板的 ROM 上,这样的病毒即使用户重新安装 OS X 或更换硬盘也无法将其移除。Hudson 表示,他甚至可以使用新加密匙替代苹果的加密密匙,阻止能移除病毒的固件升级。他表示:“硬件和软件加密检查都无法验证固件真实性,当恶意代码被写入 ROM 后,它能控制系统,可以使用 SMM 和其他技术隐藏自己,避免被发现。”
如此低级的安全漏洞麻烦很大,因为漏洞很难被发现。之前,曾经有黑客利用全盘加密系统的漏洞攻击 EFI。当然,Hudson 的攻击需要能访问到用户的Mac,只能通过 Thunderbolt 设备传播的方式也不会带来太大麻烦。