Tutti i Mac dotati di porta Thunderbolt (quindi quelli dal 2011 in poi) sono vulnerabili ad un attacco "Thunderstrike", che all'accensione del Mac rimpiazza le ROM in "recovery mode" (le "BOOT ROM" eredità dell'architettura IBM PC del 1981 !!!) e non può essere più rimosso da alcun antivirus perché agisce prima di caricare il sistema operativo.
Per infettare un Mac in modo inesorabile è sufficiente accedervi per pochi secondi: mettere una qualsiasi chiavetta "malvagia" nella porta Thunderbolt (che a prima vista è impossibile capire se è "normale" o "infettata") e accendere o riavviare con la chiavetta inserita.
Dato che è un attacco al firmware, non serve a niente riformattare/reinstallare OSX (poiché OSX in tal caso viene caricato a computer già infettato).
Non serve a niente neppure la crittografia dei dischi, visto che il malware può comodamente aprire una "backdoor" in OSX mentre lo carica, rendersi "invisibile" e registrare tutto ciò che avviene da mouse e tastiera (incluse le password), leggere "in chiaro" tutto ciò che c'è in RAM, ecc.
Non serve nemmeno mettere una password al firmware poiché la Option ROM del Thunderbolt viene caricata prima della richiesta di password del firmware.
E quel che è peggio, è che un Mac infetto può propagare l'infezione ad altri Mac connessi sulla stessa porta Thunderbolt.
Una volta che un Mac è infettato dal Thunderstrike non si può più aggiornare (se non con la chiave privata RSA di colui che ha creato il malware!). La Apple sta correndo ai ripari con una patch per evitare l'aggiornamento del firmware all'accensione, ma il malware potrebbe benissimo riuscire a fare il "downgrade".
Questo EPIC FAIL dipende dal fatto che i computer Apple verificano le signature del firmware solo quando viene fatto il firmware update (e non ad ogni accensione).
L'autore della scoperta è Trammell Hudson.
Ufficialmente, per il momento non risultano esistere dei malware in circolazione, ma questo non significa che la Apple e i governi ammanigliati con Apple non abbiano già ampiamente sfruttato la cosa...
mercoledì 7 gennaio 2015
Iscriviti a:
Commenti sul post (Atom)
Nessun commento:
Posta un commento