Jeśli rozmawialiśmy o exploit zdolny do przejęcia kontroli nad dowolnym komputerem Mac Nawet jeśli został później sformatowany lub zmieniono jednostkę pamięci, teraz wiemy, że nowy exploit pozwala nam zrobić to samo, ale tym razem zdalnie, bez konieczności fizycznego dostępu do komputera przez połączenie Thunderbolt. Jednak nie dotyczy to wszystkich komputerów, ponieważ występuje tylko w komputerach Mac sprzed 2014 r., Które nie zostały jeszcze zaktualizowane, aby uniknąć tej awarii.
Luka została odkryta przez badacza bezpieczeństwa OSX, Pedro Vilaca, w szczególności jest ona oparta na luce w zabezpieczeniach, która umożliwia przepisać określone części systemu BIOS akurat w momencie, gdy maszyna „budzi się” ze stanu spoczynku lub bezczynności.
Zwykle, aby tak się nie stało, sprzęt jest wyposażony w ochrona znana jako FLOCKDN co uniemożliwia aplikacjom dostęp do regionu BIOS, ale z nieznanych jeszcze powodów ochrona ta jest nieaktywna w chwili, gdy Mac powraca ze stanu bezczynności. Pozwoliłoby to różnym aplikacjom na flashowanie systemu BIOS i modyfikowanie interfejsu oprogramowania układowego (EFI).
«Naruszenie bezpieczeństwa może być do użytku w przeglądarce Safari lub jakikolwiek inny zdalny wektor do zainstalowania rootkita EFI bez fizycznego dostępu ”- powiedział Vilaca na swoim blogu. „Jedynym wymaganiem jest zawieszenie sprzętu podczas sesji, która jest używana. Nie przeprowadziłem jeszcze wystarczających badań, ale prawdopodobnie możesz zmusić system do uśpienia i wywołać atak później. Byłby własnością epickiego ;-) »
Po zainstalowaniu złośliwy kod byłby bardzo trudny do wykrycia lub usunięcia, tak samo jak sformatowanie lub ponowna instalacja systemu operacyjnego nie przyniosłaby żadnych rezultatów, ponieważ BIOS pozostałby zmodyfikowany, aby umożliwić dostęp. Niestety, użytkownicy komputerów Mac nie mogą zrobić zbyt wiele podatnych na ataki, aby zapobiec exploitowi. dopóki Apple nie wyda łatki.
W każdym razie Vilaca zwraca uwagę, że zwykli użytkownicy również nie powinni się nadmiernie martwić, ponieważ jest więcej niż prawdopodobne, że ten exploit jest planowany w obliczu masowego ataku a nie w konkretnych zespołach. Do tej pory testowano go z sukcesem na MacBooku Pro Retina, MacBooku Pro 8.2 i MacBooku Air z najnowszym dostępnym oprogramowaniem Apple EFI. Jedyne komputery, na które nie ma wpływu, to te działające od połowy do końca 2014 roku.
Byłoby interesujące wiedzieć, czy ten exploit może wpłynąć na właścicieli sprzętu Hackintosha, a mimo to pozostawia bezpieczeństwo komputera Mac na ziemi ... godne pożałowania.