Son Apple Malware: Unstoppable saptanamaz ve Thunderbolt cihazları enfekte edebilen

Bu makalenin gelistirilmis bir otomatik çeviri oldugunu bu makalenin.

Windows sistemlerinde karşılaştırıldığında, Apple çok, uzun yıllar güvenlik üstünlüğünü korudu. Ancak, en son kanıtı-of-concept zararlı yazılım dağıtım yöntemi buna bir son koyabilirsiniz.

“Thunderstrike” lakaplı, bu kötü amaçlı yazılım size özel donanıma erişimi yoksa geleneksel yöntemlerle kaldırmak imkansızdır. Trammel Hudson, bir güvenlik araştırmacısı o bir “bootkit” olarak ne ifade eder yüklendiği bir Thunderbolt periferik kullanımını göstermek amacıyla cihazın Seçenek ROM kullandı.

1980’lerde geliştirilen, Seçenek ROM kritik programları saklamak veya bellek periferik özel blokları almak bir alternatif yöntem olarak tasarlanan isteğe bağlı, periferik özel vardır. Önyükleme işlemi erken ınitialized, genellikle önyüklenebilir bir aygıt veya ağ önyükleme sağlamak amacıyla BIOS kendilerini sarılmak. Thunderbolt çalışan cihazlar kendi Seçenek ROM, tüm Apple, bu süreç donanım kendi önyükleme sırasının parçası olduğunu doğrulamak şey ile donatılmıştır.

Ne Thunderstrike yapar düz sistemin genişletilebilir firmware arabirimi veya EH içine Thunderbolt cihazının enfekte Seçeneği ROM kendisini enjekte olmasıdır. EFI / UEFI belgelerine göre, firmware bu kötü niyetli eylem imkansız kılacak varsayılan olarak kilitli olmalıdır.

Hudson’ın araştırma ve test dayanarak, işler onlar için ne görünür değildir. Hudson Option ROM kurtarma modu önyükleme işlemi sırasında başladı işaret etti. Bu aşamada, Apple EFI imza kendisini kontrol etmeye devam eder. Eğer dosya boyutu ya da içeriğini değiştirirseniz, bu çek başarısız olur, ya da Hudson araştırma ekibi tam kontrol altında biri ile Apple’ın depolanmış kamu RSA anahtarını değiştirmek için bir yöntem ile gelip olmasaydı en azından olmalıdır.

Artık, son kullanıcı uygun RSA anahtar olmadan standart bir Apple görüntü ile cihazın yazılımını güncellemek olamaz. Herhangi bir girişimi kimlik geçmek olmaz. Bir saldırganın, tüm sistemi izlemek tuş vuruşlarını, kayıt şifre veri veya iz web siteleri oturum için sisteme erişim bu temel düzeyde olması, çok kolay olurdu. Diğer Thunderbolt cihazları mahzurlu makineye bağlı ise, o zaman bootkit kolaylıkla onlara geçti olabilir.

‘Œevil hizmetçi’ saldırılar geçerli vektörler düşünülebilir?

güneş sadece ışın saldırı bu tür hatta anları kısacık için, sisteme fiziksel erişim gerektirir. Genellikle, bu sadece teorik bir egzersiz ama, Thunderstrike farklıdır. ilk şey bu saldırı hızlı çalışır. Saldırgan sadece Thunderbolt cihaza takın yapmak için gereken tek şey, bir kaç saniye için güç düğmesini basılı tutun ve yapılır. Bundan sonra, Thunderstrike kendini kuracak ve sadece birkaç dakika içinde kendine yürütmek. Sıradan bir gözlemci, yalnızca önyükleme döngüsü biraz daha uzun sürer göreceksiniz.

Bu ‘œevil hizmetçi’ saldırının arkasındaki fikir, bir otel odasında ya da güvenli kilitli olarak sisteme erişimi olan birinin kavramına dayanır. Bu insanlar tuvaleti kullanmak için katılımsız kendi dizüstü bıraktığınızda, hatta konferanslarda yapmak mümkündür.

En rahatsız edici bir şey Edward Snowden’ın kaçak raporlarının biridir. Bu NSA, sonra onları Kök setlerini hiçbir şey olmamış gibi onları yeniden paketlemek için yolda Dell veya HP donanım yakaladığını nasıl ayrıntıları verir. Biz bu tür taktiklerin ne belli olmasına rağmen, böyle Thunderstrike gibi patlatır dünyanın en milli istihbarat ajansları altın gibi değerli olabileceğini varsaymak güvenlidir.

Bu Apple’ın cevabı firmware güncellemeleri sırasında yüklemek için Seçenek ROM inkar edecek bir yamadır. Gerçek ve tam bir çözüm keşfedilen olacak zaman bilinmemektedir.