neprihlásený Sobota, 23. novembra 2024, dnes má meniny Klement
MacBookom je možné infikovať firmvér cez Thunderbolt

Značky: bezpečnosťMacBookThunderbolt

DSL.sk, 29.12.2014


Notebooky MacBook od spoločnosti Apple je možné trvalo a nepozorovane infikovať dokonca na úrovni firmvéru, ak útočník dokáže podvrhnúť užívateľovi upravené Thunderbolt zariadenie.

Zistil to bezpečnostný expert Trammell Hudson, ktorý bude takýto útok pod označením Thunderstrike demonštrovať dnes na bezpečnostnej konferencii 31C3.

Útok Hudsona využíva dve zraniteľnosti, už známu zraniteľnosť umožňujúcu vložiť útočníkom zvolený kód do tzv. Option ROM Thunderbolt zariadenia a ďalšiu zraniteľnosť umožňujúcu pri boote MacBooku pri pripojenom Thunderbolt zariadení s podvrhnutým kódom v ROM prepísať EFI firmvér notebooku bez akejkoľvek kryptografickej kontroly.

Ak tak útočník dokáže k Thunderbolt portu notebooku pripojiť zariadenie s podvrhnutou Option ROM a MacBook následne rebootovať, škodlivý kód dokáže zapisovať do SPI flash ROM firmvéru notebooku. Útoku nezabráni ani firmvérové heslo, keď podvrhnutý kód v Option ROM Thunderbolt zariadenia sa spúšťa pred výzvou na zadanie hesla.

Ukážkový kód, ktorý bude Hudson prezentovať, sa nesnaží skrývať a napríklad viditeľne mení logo práve pri vyžiadaní si firmvérového hesla. Podľa experta by ale mohol škodlivý kód rozličnými technikami maskovať svoju prítomnosť.


Škodlivým kódom zmenené logo pri výzve na zadanie firmvérového hesla (foto: Trammell Hudson)



Keďže škodlivý kód sa nachádza vo firmvéri, odstrániť infekciu nie je možné preinštalovaním operačného systému ani výmenou disku. Naopak škodlivý kód môže zabrániť svojmu odstráneniu akýmikoľvek softvérovými spôsobmi a pre jeho odstránenie môže byť potrebné obnovenie firmvéru pomocou hardvérového preprogramovania.

Škodlivý kód by použitú techniku infekcie mohol využiť aj na vytvorenie červa, keď infikovaný firmvér môže zase infikovať Option ROM pripojených Thunderbolt zariadení. Po pripojení týchto zariadení k inému MacBooku by sa tak škodlivý kód mohol takýmto spôsobom sám šíriť.

Odstrániť prvú z využívaných zraniteľností je podľa Hudsona jednoduché, Apple napriek jej zverejneniu pred viac ako dvomi rokmi zatiaľ iba pripravuje opravu. Odstrániť druhú využívanú zraniteľnosť naopak jednoduché podľa Hudsona nebude, detaily má zverejniť počas podvečernej prezentácie.


      Zdieľaj na Twitteri



Najnovšie články:

Protimonopolný úrad začal prešetrovať, prečo v SR nie sú skutoční virtuálni mobilní operátori
Nový trailer filmu Minecraft
Linux v ďalšej verzii vyradí súborový systém Reiser
Odštartovaná výroba flash pamäte s 321 vrstvami
Apple má prvýkrát použiť vlastný 5G modem v iPhone v marci


inzercia



Diskusia:
                               
 

"EFI firmvér notebooku bez akejkoľvek kryptografickej kontroly"

ostatne sa ako tak da ale toto fe FAIL na druhu
Odpovedať Známka: 2.7 Hodnotiť:
 

kurnik už je zranitelne všetko či win , mac , linux , bsd , android , ....
Odpovedať Známka: 2.0 Hodnotiť:
 

uz?! zranitelne to bolo odjakziva, len teraz to vyplavalo na povrch, kedze apple na opravu je be
Odpovedať Známka: 8.1 Hodnotiť:
 

myslim, ze vacsi fail nez bol goto, nedosiahne nikto.. apple je banda diletantov - opravovat roky jednu chybu ......
uz sa tesim na jebnute ovecky ako tu zacnu presviedcat obycajnych smrtelnikov, aka je toto uzasna ficura :D
Odpovedať Známka: 6.2 Hodnotiť:
 

Je to uzasne ficura, presvedcil som ta?
Odpovedať Známka: 7.8 Hodnotiť:
 

ty a clanok trocha zvelicujete.. apple na rozdiel od inych vyrobcov (napr. lenovo) ma vsetky firmware podpisane a vyzaduje kryptograficku kontrolu pri update..

FAIL na druhu je totizto ta prva !dvojrocna! chyba, ktora umozni spustit lubovolny kod pri boot-e macbook-u pred tym ako zacne operacny system == bootkit == prave tato prva chyba umoznuje ignorovat tu kryptograficku kontrolu pri update jednoduchym prepisanim toho software ktory tu kryptograficku kontrolu vykonava..
Odpovedať Známka: 8.7 Hodnotiť:
 

A čo na to Joskoooo? Redakcia by sa mala zaujímať o jeho stanovisko!
Odpovedať Známka: 7.1 Hodnotiť:
 

Joskoooo je zastanovany, je zima, pada snech a mrznu vlnky.
Odpovedať Známka: 8.0 Hodnotiť:
 

Tato chiba sa tika len MacBookov ktore maju tento port implementovani. Vsetki ostatne laptopi su bespecne. Uzivatelom viuzivajuci iba apple certyfikovane prislusenstvo samozrejme im nic nechrosi. Neropte z komara slona.

pretseda pretstavenstva
josko
Odpovedať Známka: 5.3 Hodnotiť:
 

super, perfektne, uz lepsiu spravu na koniec roka som ani nemohol cakat. Vyborne zakoncenie roka. :) Otvaram sampanske!!!
Odpovedať Známka: 8.6 Hodnotiť:
 

"Dobrý deň. Prosím Vás, smel by som sa napojiť na Váš zraniteľný thunderbolt port, aby som Vám mohol infikovať firmware Váško MacBooku škodlivým kódom? Ďakujem." asi toľko ku tomu celému...
Odpovedať Známka: -6.5 Hodnotiť:
 

"Chytaj moj TB disk, je na nom Spongeknob Squarenuts. Urcite to chces vidiet!"
Jednoduchsia verzia :D
Odpovedať Známka: 10.0 Hodnotiť:
 

Najlepsie su vsak tie komenty od tich co maju jablka ze sa to da napadnut iba za velmi specifickych pomienok..takze im nic nehrozi.
Odpovedať Známka: 6.0 Hodnotiť:
 

No, najvtipnejsie je, ze vsetci co si tu mastia ega na ukor Apple, maju uplne rovnake maslo na hlave. Tento typ utokov je uz dlhsiu dobu znamy (prakticky od cias PCMCIA zbernic) a preto existuju tooly, ktore vam vase ultra zabezpecene windows a linuxy, na pockanie odomknu, alebo rovno ziskaju rootove prava - http://goo.gl/QY2HqO :D
Odpovedať Známka: 8.0 Hodnotiť:
 

rozdiel je v tom, ze nikto nikdy netvrdil, ze Windows je bezpecny
Odpovedať Známka: 7.5 Hodnotiť:
 

Nuz, tak kde Apple tvrdi, ze ich system je neprekonatelny? Rozdiel je len v tom, ze kopanec do Apple sa lepsie medialne predava. Tento typ utokov je vazny a postihuje vsetky platformy, ale ako vidno, jediny Apple s tym ako tak nieco robi (zakazuje DMA ked ho netreba, pouziva IO virtualizaciu a pod).

No a posmesky na ukor toho, ze nevedia niekolko rokov opravit chybu... Rad by som videl tunajsich expertov na teplu vodu, ze ako by implementovali podporu pre hardware, ktoreho funkcionalita je dana urcitou specifikaciou (casto krat zlou, alebo by-design nebezpecnou)
Odpovedať Známka: 4.5 Hodnotiť:
 

Nič proti jabku ale ja osobne nemusím keď niekto fanaticky obhajuje apple ako totálne neprekonateľný.
Odpovedať Známka: 4.3 Hodnotiť:
 

rozdiel je ten, ze Apple v sucasnosti pcha Thunderbolt port do vsetkych svojich notebook-ov.., zatialco pritomnost Firewire/Thunderbolt/PCMCIA/ExpressCard je vacsinou iba v high-end firemnych notebookoch..
Odpovedať Známka: 5.0 Hodnotiť:
 

A apple notebooky spadaju kam chces povedat ? medzi lacne shity pre studentov typu asus za 300 ? Apple notebooky minimalne pro rada a mozno este aj air 13 patria do highendu, su to pracovne alebo aj ako ty si napisal firemne notebooky. To ze si ich kupuju pipky aby sedeli v kaviarni na facebooku s macboocikom ako panicky je druha vec. Btw ak zhanas pracovny notebook tak macbook pro neprekona nic, ani hw ani displejom a vlastne ani cenou, a ked zratam ze aj windows nieco stoji, tak macbook neprekona fakt nic ani lenovo a ich pracovne notebooky.
Odpovedať Známka: -4.3 Hodnotiť:
 

ty si idiot...
Odpovedať Známka: 3.3 Hodnotiť:
 

mozes aspon vysvetlit preco ? je to tvoj nazor ale zaujima ma preco taky je, ci mas nejaku inu skusenost alebo co...

robil som na vyse 60 000 korunovom thinkpade este ked to robilo ibm, robil som na skoro 2000 eurovom lenove a v roku 2013 ked som potreboval znovu novy stroj som 3 mesiace hladal nieco co by konkurovalo 2013 15" retine od applu, nekonkurovalo nic, ani zo stranky hw a komponentov, ani zo strany ceny a o displeji ani nehovorim. Cize je to realna skusenost ze applu sa v tejto kategorii nic nevyrovna, a to ze som podla teba idiot moze znamenat len dve veci, ze si sam idiot, alebo mas komplexy koli tomu ze nevies/neskusil aky je poriadny notebook
Odpovedať Známka: 5.0 Hodnotiť:
 

apple nie je vhodny do korporatnej sfery
Odpovedať Hodnotiť:
 

To je argument ako prdel. Vacsinou, najcastejsie, typicky, vsetko slova, ktore len zahmlievaju neschopnost vyrobcov OS a hardware tento problem riesit :D
Odpovedať Známka: 7.1 Hodnotiť:
 

Ja mam widly nainstalovane na urovni biosu, resp. este pred biosom natvrdo v ROM-ke, takze mi nic nehrozi, ziadny utok a ziadne prepisy HW, nakolko ako prve sa mi loadnu widly, a potom kontroluju integritu firmweru kazdeho zariadenia, ci nebolo pozmenene. :)
Odpovedať Známka: 0.0 Hodnotiť:

Pridať komentár