一名安全专家已经发现一种方法,可以在苹果笔记本电脑的微芯片中安装恶意代码。而且这种恶意代码无法被删除,即使更换整个硬盘都不行。
这种恶意代码被称为Thunderstrike,现在几乎不可能被发现,它只需要袭击者短时间接触一台电脑即可。由于这是一种全新恶意代码,目前还没有安全软件可以找到它。
效力于纽约对冲基金Two Sigma Investments的安全专家特拉梅尔·哈德逊(Trammell Hudson)说,这一发现源于他的雇主要求他检查苹果笔记本电脑的安全性。他说:“当时我们正考虑引入MacBook,我被要求利用逆向工程经验调查Mac上的恶意软件。”
哈德逊首先拆卸了一台苹果笔记本电脑,以便进入启动代码(Boot rom)。这种微芯片内含有代码,可以在主操作系统安装前启动和运行电脑。恶意代码可能藏在这里,它们与藏身硬盘中的其他正常病毒不同,无法被移除。这就是众所周知的bootkit攻击。这种代码可让攻击者随心所欲,从暗中观察用户到泄漏电脑上敏感信息等。
尽管此前已经有许多研究人员发现,修改苹果笔记本ROM内容会导致电脑完全无法使用,但这却可作为一种安全措施,查看ROM内容是否存在改动痕迹,并在发现不妥时关闭电脑。但哈德逊却能够规避这些检查,安装他想要的任何代码。
哈德逊说,这些安全措施总是“注定失败”和“无用的”,因为任何可检查ROM内容的人,同样也能发现ROM内容是否发生变化的代码。相反,应该对某些不容易进行改变的硬件芯片进行检查。
哈德逊还进一步发现,这种攻击甚至无需将电脑与芯片进行物理拆分,只需使用Thunderbolt端口即可。从理论上说,只需要按照下列简单步骤进行,任何设备都可被用于安装恶意代码,包括监控器、硬盘以及打印机等。
哈德逊说:“由于这是第一种OS X固件bootkit,目前还没有安全软件可发现它。它从第一指令系统控制电脑,允许其记录击键,包括磁盘加密密匙,在OS X的内核和旁路固件密码中安插后门等。它无法被安全软件删除,因为其控制自签名密匙和更新程序。OS X的重新安装也无法删除它。更换SSD也不行,因为其根本不在硬盘中存储任何数据。”
哈德逊还称:“在进入你的笔记本电脑数分钟后,Thunderstrike就允许启动ROM固件被取代,无论固件是否有密码或磁盘是否加密。Thunderstrike的当前形态可以对我测试过的任何携带Thunderbolt端口的笔记本有效,包括MacBook Pro、Air以及Retina等。”
哈德逊表示,苹果推出了“局部修复”方案,因为固件升级在某些情况下可以阻止ROM被恶意代码覆盖重写,但这不是绝对,比如当电脑安装有恶意迅雷设备插件时重启就不行。哈德逊称他2013年首次发现公司电脑中的漏洞,但至今有些电脑依然容易受到黑客攻击,黑客可哄骗电脑“降级”软件版本,这些版本的软件不含有新的补丁,因此更容易受到攻击。
哈德逊认为,唯一可预防此类攻击的方法是用你自己的代码覆盖ROM内容,这可以禁止任何通过Thunderbolt端口的类似远程攻击。然后给你的笔记本电脑涂上指甲油,以发现任何未经授权的ROM物理访问。可是,这些复杂的措施都很消耗时间。苹果目前还未对此发表评论.