针对苹果电脑的ROM级恶意程序Thunderstrike

2015-01-06 180106人围观 ,发现 12 个不明物体 资讯

近日,安全研究人员发现一种让苹果电脑感染ROM级恶意程序的方法。

老漏洞新利用

这个攻击由编程专家Trammell Hudson在德国汉堡举办的年度混沌计算机大会上展现,他证明这将使重写苹果Mac计算机固件成为可能。

这种攻击被命名为“Thunderstrike”。它实际上利用了一个在ThunderboltOption ROM中有些历史的漏洞,该漏洞在2012年首次被发现但仍未修补。通过受感染的Thunderbolt设备在苹果电脑的boot ROM中分配一段恶意程序,Thunderstrike 将可以感染苹果可扩展固件接口(EFI)。

恶意程序无法删除

根据该研究人员所说,这种攻击非常危险,因为恶意程序实际上是存在于系统独立的ROM中,故还没有方法让用户去检测到这种攻击或者是删除它,即使是完全重装OS X系统也无法删除。

“鉴于boot ROM独立于操作系统,因此重装OSX系统也无法删掉该恶意程序。此外,由于它也不需要存储在磁盘上,所以即使更换硬盘也无法解决。唯一的解决方案是重新刷入安全的固件才可以恢复。”

Hudson还表示他可以用一个新的密钥来替换苹果自己的密钥,这将导致电脑拒绝接受合法的固件升级。

“在系统启动的时候,既没有硬件也没有软件方式的针对固件有效性的密码检测,所以一旦恶意程序被刷进了ROM中,它将从第一条指令开始就控制了整个系统”

除了编写自定义代码到boot ROM中,Hudson的演讲中还指出一个方法,该方法使得bootkit可以自我复制到任何附加的Thunderbolt设备中,使它具有甚至通过网络传播的能力。

视频演示

你可以观看下面由Hudson提供的整个演示,你也可以参考这篇博客去了解更多关于Thunderstrike的信息。


视频地址:http://v.youku.com/v_show/id_XODY3MzcxNTE2.html?qq-pf-to=pcqq.discussion

目前苹果公司已经在最新的Mac mini和5K视网膜显示屏的iMac上修补了部分漏洞。

[参考来源HackerNews,译/JackFree,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]

发表评论

已有 12 条评论

取消
Loading...

特别推荐

推荐关注

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php