Dette Mac-angrepet kan nesten ikke oppdages

Infiserer fastvare uten fysisk tilkobling.

Fastvaren på en MacBook er ikke lenger sikker, mener sikkerhetseksperter.
Fastvaren på en MacBook er ikke lenger sikker, mener sikkerhetseksperter. Bilde: Stein Jarle Olsen
4. aug. 2015 - 10:22

Mac OS har stort sett hatt rykte på seg på å være generelt tryggere enn Windows når det gjelder virus, skadevare og andre typer angrep.

Det er imidlertid ingen garantier for at situasjonen vil være slik for all fremtid, og en gruppe sikkerhetsforskere har nå klart å utvikle en type skadevare som legger seg i Macens fastvare, og er følgelig nesten umulig å bli kvitt.

De tre forskerne, Corey Kallenberg, Xeno Kovah og Trammell Hudson, vil vise frem sine oppdagelser under Black Hat-konferansen i USA denne uken. Mange av detaljene rundt angrepet er imidlertid allerede blitt offentliggjort via en artikkel i Wired.

Deres poeng er at alle angrep på Mac-firmware som er blitt gjennomført tidligere har krevd fysisk tilgang til maskinvaren, i motsetning til tilsvarende pc-baserte angrep.

Trammell Hudson har tidligere bevist hvordan man kan få tilgang til Mac-fastvare via en Thunderbolt-enhet. Sårbarheten ble kalt Thunderstrike.

Les mer: Skummel sårbarhet i Thundebolt

Den nye sårbarheten kaller de dermed for Thunderstrike 2, og det viser seg at det er snakk om en temmelig farlig prosess.

Sikkerhetsforskerne har gått gjennom seks kjente fastvare-svakheter som er relatert til pc-plattformen, og siden Apples EFI-fastvare bruker mye av den samme koden, viste det seg at fem av disse svakhetene også påvirket Apples datamaskiner. Noen av disse er imidlertid blitt fikset i etterkant.

Usynlig

Thunderstrike 2 ble deretter utviklet til å benytte seg av slike svakheter. Og siden ormen lever i fastvaren er det så godt som umulig å oppdage og kan spre seg mellom Mac-maskiner i stillhet.

En angriper kan først få tilgang til «boot flash»-programvaren ved å spre infisert kode via en epost eller en nettside. Skadevaren vil deretter legge seg på spesifikke enheter som er tilkoblet maskinen via Thunderbolt og som inneholder en ROM som kan skrives over.

Les også: Putter spionvare i harddiskens firmware

Derfra fortsetter smitten til neste maskin som får enheten koblet til, og infiserer fastvaren direkte.

Hvis en ny enhet med såkalt «option ROM» blir koblet til denne maskinen, blir den også infisert, og slikt kan det fortsette.

Det er fint mulig å plassere skadevaren på Ethernet-adaptere som selges på nettbutikker eller infisere dem i fabrikken, mener sikkerhetsekspertene.

Og siden ingen sikkerhetsprodukter sjekker option ROM i tilkoblede enheter, er skadevaren svært vanskelig å finne.

Eksempler som Kallenberg, Kovah og Hudson viser til er blant annet sikre miljøer som ikke bruker trådløse nettverk – disse kan infiseres fra èn maskin som kobles til resten av nettverket med kabel eller ved deling av SSD-disker.

Les også: Thunderstrike straks fikset

Det skal sies at Thunderstrike 2, i likhet med sin forgjenger, bare er et konsept. Apple slapp en fiks kort tid etter at den første sårbarheten ble beskrevet, som skulle sørge for å tette fastvare-hullet, og det er dermed ikke umulig at selskapet følger opp med en fiks nok en gang. På den andre siden – uten eksperter som setter søkelyset på skumle sikkerhetshull ville problematikken aldri blitt tatt tak i.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.