Αν μιλάμε για μια εκμετάλλευση ικανή να αναλάβει τον έλεγχο κάθε Mac Ακόμα κι αν είχε διαμορφωθεί αργότερα ή αλλάξει η μονάδα αποθήκευσης, γνωρίζουμε τώρα ότι ένα νέο exploit μας επιτρέπει να κάνουμε το ίδιο πράγμα, αλλά αυτή τη φορά από απόσταση χωρίς να χρειάζεται να έχουμε φυσική πρόσβαση στον υπολογιστή μέσω σύνδεσης Thunderbolt. Ωστόσο, δεν επηρεάζονται όλοι οι υπολογιστές, δεδομένου ότι υπάρχει μόνο σε Mac πριν από το 2014, οι οποίοι δεν έχουν ακόμη ενημερωθεί για να αποφευχθεί αυτή η αποτυχία.
Η ευπάθεια έχει ανακαλυφθεί από τον ερευνητή ασφαλείας στο OSX, Pedro Vilaca, συγκεκριμένα βασίζεται σε μια τρύπα ασφαλείας που επιτρέπει επανεγγραφή ορισμένων τμημάτων του BIOS ακριβώς τη στιγμή που το μηχάνημα "ξυπνά" από κατάσταση ηρεμίας ή αδράνειας.
Κανονικά, για να μην συμβεί αυτό, ο εξοπλισμός είναι εξοπλισμένος με α προστασία γνωστή ως FLOCKDN που εμποδίζει την πρόσβαση των εφαρμογών στην περιοχή του BIOS, αλλά για κάποιους ακόμη άγνωστους λόγους, αυτή η προστασία είναι ανενεργή τη στιγμή που ο Mac επιστρέφει από αυτήν την κατάσταση αδράνειας. Αυτό θα αφήσει το δρόμο για διαφορετικές εφαρμογές να αναβοσβήνουν το BIOS και να τροποποιήσουν τη διεπαφή υλικολογισμικού (EFI).
«Η παραβίαση ασφαλείας μπορεί να είναι χρησιμοποιήσιμο μέσω του Safari ή οποιοδήποτε άλλο απομακρυσμένο διάνυσμα για να εγκαταστήσετε ένα rootkit EFI χωρίς φυσική πρόσβαση », δήλωσε ο Vilaca στο ιστολόγιό του. «Η μόνη απαίτηση είναι να ανασταλεί ο εξοπλισμός εντός της περιόδου λειτουργίας που χρησιμοποιείται. Δεν έχω κάνει αρκετή έρευνα ακόμα, αλλά πιθανότατα θα μπορούσατε να αναγκάσετε το σύστημα να κοιμηθεί και στη συνέχεια να προκαλέσει την επίθεση. Θα ήταν ένα επικό ιδιοκτησίας ;-) »
Μόλις εγκατασταθεί, κακόβουλος κώδικας θα ήταν πολύ δύσκολο να εντοπιστεί ή να αφαιρεθεί όσο η μορφοποίηση ή η επανεγκατάσταση του λειτουργικού συστήματος δεν θα πετύχαινε τίποτα, καθώς το BIOS θα παρέμενε τροποποιημένο για να επιτρέψει την πρόσβαση. Δυστυχώς, δεν υπάρχουν πολλοί ευάλωτοι χρήστες Mac για να αποτρέψουν την εκμετάλλευση. έως ότου η Apple κυκλοφορήσει ένα έμπλαστρο.
Σε κάθε περίπτωση, η Vilaca επισημαίνει ότι οι απλοί χρήστες δεν πρέπει να ανησυχούν πάρα πολύ, καθώς είναι πολύ πιθανό ότι αυτό το εκμεταλλεύεται προγραμματίζεται ενόψει μιας μαζικής επίθεσης και όχι σε συγκεκριμένες ομάδες. Μέχρι στιγμής έχει δοκιμαστεί σε MacBook Pro Retina, MacBook Pro 8.2 και MacBook Air που εκτελεί το πιο πρόσφατο διαθέσιμο υλικολογισμικό Apple EFI με επιτυχία. Οι μόνοι υπολογιστές που δεν επηρεάζονται είναι αυτοί που εκτελούνται από τα μέσα έως τα τέλη του 2014.
Θα ήταν ενδιαφέρον να γνωρίζουμε εάν αυτή η εκμετάλλευση μπορεί να επηρεάσει τους ιδιοκτήτες του εξοπλισμού Hackintosh, παρόλο που αφήνει την ασφάλεια των Mac σε κουρελιασμό .. λυπηρό.