Specjalista znalazł lukę w oprogramowaniu Apple EFI

Programator Trammell Hudson został sporządzony raport o znalezionym błędzie. Komunikat mówi o możliwości ponownego flashowania EFI firmy Apple w taki sposób, aby dodać dodatkowy kod wykonywalny przed początkowym uruchomieniem laptopa.

Potencjalnie atakujący mogą wykorzystać to, aby zagrozić całemu systemowi. Problem może występować w większości komputerów Macbook, w których używany jest Apple EFI.

Według specjalisty, butkit może być zainstalowany przez złącze Thunderbolt. Przez ten sam port prawdopodobnie dojdzie do infekcji innych urządzeń, które zostaną podłączone do zainfekowanego laptopa . Co jest najniebezpieczniejsze, bootkit nie zostanie usunięty przez prostą ponowną instalację systemu operacyjnego Mac Os X, a także zmianę dysku twardego. Kod jest przepisywany w pamięci ROM, chroniąc jego integralność.

Podczas uruchamiania ROM może być używany nie tylko do wykonania kodu, który atakuje, ale także do wyłączenia weryfikacji podpisu cyfrowego Potwierdzającego licencję na odpowiednie oprogramowanie Apple. Jeśli haker ma fizyczny dostęp do komputera docelowego, układ SPI flash ROM jest całkiem realny, aby napisać własny kod, który doprowadzi do stworzenia nowego bootkita pod Macem.

Aby ukryć swój pobyt w systemie złośliwe oprogramowanie może korzystać z wirtualizacji SMM, a także szereg innych znanych technik pracy w tle. Ponieważ weryfikacja sprzętu i kryptografii całego systemu podczas uruchamiania systemu Mac Os X nie jest wykonywana, potencjalnie prowadzi to do większych problemów użytkowników. Ta luka nie jest już pierwszą, która została odkryta w oprogramowaniu Apple w ciągu ostatniego roku. Oficjalna reakcja korporacji na raport Trammella Hudsona jeszcze nie nastąpiła.