Se ne abbiamo parlato un exploit in grado di prendere il controllo di qualsiasi Mac Anche se successivamente è stato formattato o l'unità di archiviazione è cambiata, ora sappiamo che un nuovo exploit ci permette di fare lo stesso ma questa volta da remoto senza dover accedere fisicamente al computer tramite una connessione Thunderbolt. Tuttavia, non tutti i computer sono interessati poiché è presente solo nei Mac precedenti al 2014, che non sono ancora stati aggiornati per evitare questo errore.
La vulnerabilità è stata scoperta dal ricercatore di sicurezza OSX, Pedro Vilaca, in particolare si basa su un buco di sicurezza che consente riscrivere alcune parti del BIOS proprio nel momento in cui la macchina "si sveglia" da uno stato di riposo o inattività.
Normalmente affinché ciò non avvenga, l'apparecchiatura è dotata di a protezione nota come FLOCKDN che impedisce alle applicazioni di accedere alla regione del BIOS, ma per qualche motivo ancora sconosciuto, questa protezione è inattiva solo nell'istante in cui il Mac ritorna da quello stato di inattività. Ciò lascerebbe la strada a diverse applicazioni per eseguire il flashing del BIOS e modificare l'interfaccia del firmware (EFI).
«La violazione della sicurezza può essere utilizzabile tramite Safari o qualsiasi altro vettore remoto per installare un rootkit EFI senza accesso fisico ", ha affermato Vilaca sul suo blog. «L'unico requisito è che ci sia una sospensione dell'attrezzatura all'interno della sessione che si sta utilizzando. Non ho ancora fatto abbastanza ricerche, ma potresti probabilmente forzare il sistema a dormire e attivare l'attacco in un secondo momento. Sarebbe un epico posseduto ;-) »
Una volta installato, il codice dannoso sarebbe molto difficile da rilevare o rimuovere tanto quanto la formattazione o la reinstallazione del sistema operativo non porterebbe a nulla poiché il BIOS rimarrebbe modificato per consentire l'accesso. Sfortunatamente, non c'è molto che gli utenti Mac vulnerabili possano fare per prevenire l'exploit. fino a quando Apple non rilascia una patch.
In ogni caso, Vilaca sottolinea che anche gli utenti ordinari non dovrebbero preoccuparsi eccessivamente, poiché questo exploit è più che probabile è pianificato di fronte a un massiccio attacco e non in squadre specifiche. Finora è stato testato su un MacBook Pro Retina, un MacBook Pro 8.2 e un MacBook Air con l'ultimo firmware Apple EFI disponibile, tutti con successo. Gli unici computer non interessati sono quelli in esecuzione da metà a fine 2014.
Sarebbe interessante sapere se questo exploit può colpire i proprietari di apparecchiature Hackintosh, anche così lascia la sicurezza del Mac a terra ... deplorevole.