Dacă am vorbit despre asta un exploit capabil să preia controlul oricărui Mac Chiar dacă ulterior a fost formatat sau unitatea de stocare a fost schimbată, știm acum că un nou exploit ne permite să facem același lucru, dar de data aceasta de la distanță fără a fi nevoie să accesăm fizic computerul printr-o conexiune Thunderbolt. Cu toate acestea, nu toate computerele sunt afectate, deoarece este prezent doar pe Mac-urile înainte de 2014, care nu au fost încă actualizate pentru a evita această defecțiune.
Vulnerabilitatea a fost descoperită de cercetătorul în securitate din OSX, Pedro Vilaca, în special, se bazează pe o gaură de securitate care permite rescrie anumite părți ale BIOS-ului tocmai în momentul în care aparatul „se trezește” dintr-o stare de repaus sau inactivitate.
În mod normal, pentru ca acest lucru să nu se întâmple, echipamentul este echipat cu un protecție cunoscută sub numele de FLOCKDN ceea ce împiedică aplicațiile să acceseze regiunea BIOS, dar din anumite motive încă necunoscute, această protecție este inactivă în momentul în care Mac se întoarce din acea stare inactivă. Acest lucru ar lăsa calea ca diferite aplicații să blocheze BIOS-ul și să modifice interfața firmware-ului (EFI).
«Încălcarea securității poate fi utilizabil prin Safari sau orice alt vector la distanță pentru a instala un rootkit EFI fără acces fizic ”, a spus Vilaca pe blogul său. «Singura cerință este că există o suspendare a echipamentului în cadrul sesiunii care este utilizată. Nu am făcut încă suficiente cercetări, dar probabil ai putea forța sistemul să doarmă și să declanșeze atacul mai târziu. Ar fi o epopee deținută ;-) »
Odată instalat, codul rău intenționat ar fi foarte dificil de detectat sau eliminat atât cât formatarea sau reinstalarea sistemului de operare nu ar realiza nimic, deoarece BIOS-ul ar rămâne modificat pentru a permite accesul. Din păcate, nu prea pot face utilizatorii de Mac vulnerabili pentru a preveni exploatarea. până când Apple lansează un patch.
În orice caz, Vilaca subliniază că nici utilizatorii obișnuiți nu ar trebui să se îngrijoreze excesiv, deoarece este mai mult decât probabil ca acest exploat este planificat în fața unui atac masiv și nu în echipe specifice. Până în prezent a fost testat pe un MacBook Pro Retina, un MacBook Pro 8.2 și un MacBook Air care rulează cele mai recente firmware disponibile Apple EFI, toate cu succes. Singurele computere care nu sunt afectate sunt cele care rulează de la mijlocul până la sfârșitul anului 2014.
Ar fi interesant de știut dacă acest exploit poate afecta proprietarii de echipamente Hackintosh, chiar și așa, lasă securitatea Mac-ului pe pământ ... regretabil.