Anslut till Senaste Tekniska Nyheter, Bloggar, Recensioner

En 30 sekunders tupplur kan vara allt som en hackare behöver för att rota din Mac

En 30 sekunders tupplur kan vara allt som en hackare behöver för att rota din Mac

Sova

När du slutar använda din Mac, låter du den gå i viloläge eller utföra en fullständig avstängning?

Du kanske överväger att stänga av din Mac ordentligt efter att ha läst om en säkerhetsforskares oroande upptäckt.

En ny nolldagars sårbarhet har upptäckts på äldre Mac-datorer, vilket öppnar möjligheter för hackare att blanda sig i systemets BIOS och installera en rootkit.

Låter bekant? Det borde det, för tidigare i år diskuterade vi en liknande attack som kallas Thunderstrike, som Apple fixade i OS X 10.10.2.

I Thunderstrikes fall beskrev forskare Trammel Hudson i detalj hur en Mac Thunderbolt-port kunde utnyttjas för att installera skadlig kod i ROM EFI-startchip på en MacBook.

Men den nya sårbarheten, upptäckt av OS X-säkerhetsforskare Pedro Vilaça och kallad “Prince Harming” av Katie Moussouris, går längre och verkar vara allvarligare än Thunderstrike – eftersom det inte kräver fysisk åtkomst till den riktade enheten.

Uppsats

Istället har Vilaça beskrivit hur Apple-datorer som gjordes före mitten av 2014 är utsatta för attacker när de väcks efter att de har varit i viloläge i 30 sekunder eller längre.

Problemet, enligt Vilaça, är att datorns firmware på låg nivå lämnas olåst – vilket ger en möjlighet för obehörig kod att injiceras i dess ROM EFI-startchip i form av en skadlig rootkit.

”Och du frågar, vad i helvete betyder det här? Det betyder att du kan skriva över innehållet i din BIOS från userland och rootkit EFI utan något annat trick än en suspend-CV-cykel, ett kärntillägg, flashrom och root-åtkomst. ”

“Vänta, säger jag att Macs EFI kan vara rootkitted från userland utan alla trick från Thunderbolt som Trammell presenterade? Ja det är jag! Och det är ett helvetes hål :-). ”

En sådan attack kan levereras på distans utan fysisk åtkomst till den riktade datorn genom att utnyttja webbläsares sårbarheter och locka en dator att besöka en hemsida med snäppning. Förutsatt att deras dator hade gått i viloläge under den aktuella cykeln kunde den utnyttjas.

Och som Vilaça sa till Ars Technica kan det hända att hackare kan tvinga en riktad dator att gå in i viloläge först:

”En exploatering kan antingen verifiera om datorn redan gått i viloläge och den kan utnyttjas, den kan vänta tills datorn går i viloläge, eller så kan den tvinga själva viloläget och vänta på att användaren ska återuppta sessionen. Jag är inte säker på att de flesta användare skulle misstänka att något fiskigt pågår om deras dator bara går och lägger sig. Det är standardinställningen i alla fall på OS X. ”

Äppelträd rötterOch när rootkiten är på plats kan den eventuellt inte upptäckas under en tid.

Vilaça säger att han har testat att sårbarheten fungerar mot en MacBook Pro Retina, en MacBook Pro och en MacBook Air, som alla har den senaste tillgängliga EFI-firmware. Alla, säger han, är sårbara.

Han anser dock att alla datorer som tillverkats efter mitten / slutet av 2014 inte är sårbara.

”Jag förväntar mig att alla maskiner i mitten / slutet av 2014 och nyare inte är sårbara. Apple fixade antingen av misstag eller så vet de om det. Det är inte något du bara fixar av misstag, bara säger. ”

Lyckligtvis skulle en attack via fjärranvändning nästan säkert vara möjlig för antivirusprogramvara att upptäcka, eftersom den skadliga koden skulle behöva köras på datorn.

Men det är din möjlighet att förebygga. Om ditt ROM EFI-startchip redan har äventyrats har du ett mycket större problem i dina händer. Eftersom all skadlig programvara som installerats på den kan programmeras för att undvika att tas bort med programvara som blinkar firmware, vilket innebär att du kan behöva tillgripa en dyr hårdvarukorrigering.

Vi måste hoppas att Apple kommer att se lämpligt att lansera en fix tidigare än senare för äldre datorer. Men under tiden kanske du skulle vara klok att få vana att stänga av din Mac-dator istället för att lämna den i viloläge.

Om Graham Cluley

Graham Cluley är en prisbelönt säkerhetsblogger, forskare och talare. Han har arbetat inom datasäkerhetsbranschen sedan början av 1990-talet, efter att ha varit anställd av företag som Sophos, McAfee och Dr Solomon’s. Han har talat om datasäkerhet för några av världens största företag, arbetat med brottsbekämpande organ för utredningar av hackingsgrupper och dyker regelbundet upp på TV och radio för att förklara datasäkerhetshot. Graham Cluley togs in i InfoSecurity Europe Hall of Fame 2011 och fick ett hedersomtal i de “10 största britterna i IT-historien” för sitt bidrag som en ledande myndighet inom internetsäkerhet. Följ honom på Twitter på @gcluley. Visa alla inlägg av Graham Cluley → Detta inlägg postades i Apple, Malware och taggad malware, Pedro Vilaça, rootkit, Thunderstrike, UEFI. Bokmärk permalänken.