Komentarze: 0
Każdy komputer, który wyposażono w port Thunderbolt – a więc większość nowszych MacBooków i iMaców (i nie tylko) – jest podatnych na bardzo groźne ataki. Hakerzy znający odpowiednie „sztuczki” są w stanie uruchomić złośliwy kod na komputerze za pośrednictwem tego gniazda i przejąć nad nim całkowitą kontrolę. Najgorsze jest to, że w takim wypadku nie pomoże nam ani reinstalacja systemu OS X, ani nawet wymiana dysków twardych. Ten bootkit jest bowiem naprawdę ciężki do usunięcia.
Atak został zaprezentowany przez T. Hudsona podczas konwentu 31C3. Wyjaśniał on, że całość polega na wykorzystaniu elementów standardu Thunderbolt zwanego Option ROM. Jego odpowiednie modyfikacje pozwalają hakerom na obchodzenie podpisów kryptograficznych, które odpowiadają za proces rebootowania EFI (jak BIOS). Wówczas możliwe jest uruchomienie kodu do ROM-u SPI Flash na płycie głównej i utworzenie bootkita.
Uruchominy w ten sposób bootkit może bez najmniejszego problemu ukrywać się przed programami stworzonymi do wykrywania takich elementów. Problem występuje dlatego, że zawsze kontroluje się pierwszą wykonywaną przez system instrukcję oraz w związku z tym że program jest w stanie kontrolować SMM, wirtualizację i inne, zbliżone techniki.
Pamięć ROM jak wiadomo jest niezależna od systemu operacyjnego dlatego też reinstalacja systemu operacyjnego, ani podmiana dysku twardego nie jest rozwiązuje problemu. Istnieje jednak wyjście, które pozwala zapobiec atakowi. Otóż jeśli nie wykorzystujecie portów Thunderbolt na swoim komputerze, możecie odłączyć je sprzętowo od waszej płyty głównej. Ewentualnie możemy też poczekać na reakcję Apple.