蘋果筆記本中被曝暗藏惡意代碼 無(wú)法刪除

責(zé)任編輯:editor005

作者:風(fēng)帆

2015-01-11 20:31:49

摘自:騰訊科技

一名安全專家已經(jīng)發(fā)現(xiàn)一種方法,可以在蘋果筆記本電腦的微芯片中安裝惡意代碼。哈德遜還稱:“在進(jìn)入你的筆記本電腦數(shù)分鐘后,Thunderstrike就允許啟動(dòng)ROM固件被取代,無(wú)論固件是否有密碼或磁盤是否加密。

蘋果筆記本中被曝暗藏惡意代碼 無(wú)法刪除

一名安全專家已經(jīng)發(fā)現(xiàn)一種方法,可以在蘋果筆記本電腦的微芯片中安裝惡意代碼。而且這種惡意代碼無(wú)法被刪除,即使更換整個(gè)硬盤都不行。

這種惡意代碼被稱為Thunderstrike,現(xiàn)在幾乎不可能被發(fā)現(xiàn),它只需要襲擊者短時(shí)間接觸一臺(tái)電腦即可。由于這是一種全新惡意代碼,目前還沒(méi)有安全軟件可以找到它。

效力于紐約對(duì)沖基金Two Sigma Investments的安全專家特拉梅爾·哈德遜(Trammell Hudson)說(shuō),這一發(fā)現(xiàn)源于他的雇主要求他檢查蘋果筆記本電腦的安全性。他說(shuō):“當(dāng)時(shí)我們正考慮引入MacBook,我被要求利用逆向工程經(jīng)驗(yàn)調(diào)查Mac上的惡意軟件。”

哈德遜首先拆卸了一臺(tái)蘋果筆記本電腦,以便進(jìn)入啟動(dòng)代碼(Boot rom)。這種微芯片內(nèi)含有代碼,可以在主操作系統(tǒng)安裝前啟動(dòng)和運(yùn)行電腦。惡意代碼可能藏在這里,它們與藏身硬盤中的其他正常病毒不同,無(wú)法被移除。這就是眾所周知的bootkit攻擊。這種代碼可讓攻擊者隨心所欲,從暗中觀察用戶到泄漏電腦上敏感信息等。

盡管此前已經(jīng)有許多研究人員發(fā)現(xiàn),修改蘋果筆記本ROM內(nèi)容會(huì)導(dǎo)致電腦完全無(wú)法使用,但這卻可作為一種安全措施,查看ROM內(nèi)容是否存在改動(dòng)痕跡,并在發(fā)現(xiàn)不妥時(shí)關(guān)閉電腦。但哈德遜卻能夠規(guī)避這些檢查,安裝他想要的任何代碼。

哈德遜說(shuō),這些安全措施總是“注定失敗”和“無(wú)用的”,因?yàn)槿魏慰蓹z查ROM內(nèi)容的人,同樣也能發(fā)現(xiàn)ROM內(nèi)容是否發(fā)生變化的代碼。相反,應(yīng)該對(duì)某些不容易進(jìn)行改變的硬件芯片進(jìn)行檢查。

哈德遜還進(jìn)一步發(fā)現(xiàn),這種攻擊甚至無(wú)需將電腦與芯片進(jìn)行物理拆分,只需使用Thunderbolt端口即可。從理論上說(shuō),只需要按照下列簡(jiǎn)單步驟進(jìn)行,任何設(shè)備都可被用于安裝惡意代碼,包括監(jiān)控器、硬盤以及打印機(jī)等。

哈德遜說(shuō):“由于這是第一種OS X固件bootkit,目前還沒(méi)有安全軟件可發(fā)現(xiàn)它。它從第一指令系統(tǒng)控制電腦,允許其記錄擊鍵,包括磁盤加密密匙,在OS X的內(nèi)核和旁路固件密碼中安插后門等。它無(wú)法被安全軟件刪除,因?yàn)槠淇刂谱院灻艹缀透鲁绦?。OS X的重新安裝也無(wú)法刪除它。更換SSD也不行,因?yàn)槠涓静辉谟脖P中存儲(chǔ)任何數(shù)據(jù)。”

哈德遜還稱:“在進(jìn)入你的筆記本電腦數(shù)分鐘后,Thunderstrike就允許啟動(dòng)ROM固件被取代,無(wú)論固件是否有密碼或磁盤是否加密。Thunderstrike的當(dāng)前形態(tài)可以對(duì)我測(cè)試過(guò)的任何攜帶Thunderbolt端口的筆記本有效,包括MacBook Pro、Air以及Retina等。”

哈德遜表示,蘋果推出了“局部修復(fù)”方案,因?yàn)楣碳?jí)在某些情況下可以阻止ROM被惡意代碼覆蓋重寫,但這不是絕對(duì),比如當(dāng)電腦安裝有惡意迅雷設(shè)備插件時(shí)重啟就不行。哈德遜稱他2013年首次發(fā)現(xiàn)公司電腦中的漏洞,但至今有些電腦依然容易受到黑客攻擊,黑客可哄騙電腦“降級(jí)”軟件版本,這些版本的軟件不含有新的補(bǔ)丁,因此更容易受到攻擊。

哈德遜認(rèn)為,唯一可預(yù)防此類攻擊的方法是用你自己的代碼覆蓋ROM內(nèi)容,這可以禁止任何通過(guò)Thunderbolt端口的類似遠(yuǎn)程攻擊。然后給你的筆記本電腦涂上指甲油,以發(fā)現(xiàn)任何未經(jīng)授權(quán)的ROM物理訪問(wèn)??墒?,這些復(fù)雜的措施都很消耗時(shí)間。蘋果目前還未對(duì)此發(fā)表評(píng)論.

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)