一位安全专家发现了一种在苹果笔记本电脑的微芯片中安装恶意代码的方法。而且,这种恶意代码是不能删除的,即使整个硬盘被替换。
这种被称为“雷霆一击”的恶意代码现在几乎不可能被检测到,它只需要攻击者短时间触摸一台计算机。由于这是一个全新的恶意代码,目前还没有安全软件能够发现。
纽约对冲基金Two适马投资公司(Two Investments)的安全专家特拉梅尔哈德森(Trammell Hudson)表示,这一发现是在他的雇主要求他检查苹果笔记本电脑的安全性后发现的。他说:“当时我们正在考虑推出MacBook,我被要求利用逆向工程经验调查Macs上的恶意软件。”
哈德森首先拆除了一台苹果笔记本电脑来访问引导只读存储器。这个微芯片包含的代码可以在安装主操作系统之前启动和运行计算机。恶意代码可能隐藏在这里。与硬盘中的其他正常病毒不同,它们无法被移除。这就是众所周知的bootkit攻击。这段代码允许攻击者为所欲为,从秘密观察用户到泄露计算机上的敏感信息。
虽然很多研究人员发现,修改苹果笔记本的ROM内容会使电脑完全无法使用,但它可以作为一种安全措施,检查ROM内容是否有变化,如果有问题就关闭电脑。但是哈德逊能够绕过这些检查,安装他想要的任何代码。
哈德森说,这些安优艾设计网_在线设计全措施总是“注定失败”和“无用”,因为任何能检查ROM内容的人也能找到改变ROM内容的代码。相反,一些不容易更换的硬件芯片应该检查。
哈德森进一步发现,这种攻击甚至不需要将电脑与芯片物理分离,只需使用Thunderbolt端口即可。理论上,只需遵循以下简单步骤,任何设备都可以用来安装恶意代码,包括显示器、硬盘和打印机。
Hudson说:“因为这是第一个OS X固件bootkit,目前还没有安全软件可以找到它。它从第一指令系统控制计算机,允许它记录击键,包括磁盘加密密钥、在OS X内核中插入后门和绕过固件密码等。它不能被安全软件删除,因为它控制自签名密钥和更新程序。OS X的重新安装程序也不能删除它。你不能更换固态硬盘,因为它根本不会在硬盘中存储任何数据。”
Hudson还表示:“在进入你的笔记本电脑几分钟后,Thunderstrike允许更换引导ROM固件,无论固件是否有密码或者磁盘是否加密。目前形式的雷击可以用于我测试过的任何带有Thunderbolt端口的笔记本,包括MacBook Pro、Air和Retina。”
Hudson表示,苹果之所以推出“部分修复”方案,是因为固件升级在某些情况下可以防止ROM被恶意代码覆盖,但这并不是绝对的,比如安装恶意Thunderbolt设备插件时重启电脑。哈德森说,他在2013年首次发现了该公司计算机的漏洞,但一些计算机仍然容易受到黑客的攻击。黑客可以欺骗计算机“降级”不包含新补丁的软件版本,因此它们更容易受到攻击。
Hudson认为,防止此类攻击的唯一方法是用自己的代码覆盖ROM内容,这样可以通过Thunderbolt端口禁止任何类似的远程攻击。然后在你的笔记本电脑上涂上指甲油,以发现任何未经授权的对只读存储器的物理访问。然而,这些复杂的措施是耗时的。苹果尚未对此发表评论。
精彩评论