針對蘋果電腦的ROM級惡意程序Thunderstrike
責編:admin |2015-01-06 14:18:17近日,安全研究人員發現一種讓蘋果電腦感染ROM級惡意程序的方法。
老漏洞新利用
這個攻擊由編程專家Trammell Hudson在德國漢堡舉辦的年度混沌計算機大會上展現,他證明這將使重寫蘋果Mac計算機固件成為可能。
這種攻擊被命名為“Thunderstrike”。它實際上利用了一個在ThunderboltOption ROM中有些歷史的漏洞,該漏洞在2012年首次被發現但仍未修補。通過受感染的Thunderbolt設備在蘋果電腦的boot ROM中分配一段惡意程序,Thunderstrike 將可以感染蘋果可擴展固件接口(EFI)。
惡意程序無法刪除
根據該研究人員所說,這種攻擊非常危險,因為惡意程序實際上是存在于系統獨立的ROM中,故還沒有方法讓用戶去檢測到這種攻擊或者是刪除它,即使是完全重裝OS X系統也無法刪除。
“鑒于boot ROM獨立于操作系統,因此重裝OSX系統也無法刪掉該惡意程序。此外,由于它也不需要存儲在磁盤上,所以即使更換硬盤也無法解決。唯一的解決方案是重新刷入安全的固件才可以恢復。”
Hudson還表示他可以用一個新的密鑰來替換蘋果自己的密鑰,這將導致電腦拒絕接受合法的固件升級。
“在系統啟動的時候,既沒有硬件也沒有軟件方式的針對固件有效性的密碼檢測,所以一旦惡意程序被刷進了ROM中,它將從第一條指令開始就控制了整個系統”
除了編寫自定義代碼到boot ROM中,Hudson的演講中還指出一個方法,該方法使得bootkit可以自我復制到任何附加的Thunderbolt設備中,使它具有甚至通過網絡傳播的能力。
目前蘋果公司已經在最新的Mac mini和5K視網膜顯示屏的iMac上修補了部分漏洞。