كلا طرفي كابل Apple Thunderbolt. الائتمان: أبل
(رصيد الصورة: كلا طرفي كابل Apple Thunderbolt. الائتمان: أبل)

قد لا يكون الرعد والبرق مخيفين للغاية ، ولكن من المؤكد أن برامج Mac الضارة الجديدة التي تنتشر عبر أجهزة Thunderbolt. أطلق عليها منشئها اسم Thunderstrike ، إنها مجموعة التمهيد التي تنتشر من Thunderbolt ضار متصل يستغل العيوب الأمنية المعروفة في البرامج الثابتة EFI من Apple لكتابة نفسه على أجهزة Mac المصابة اللوحة الأم.

ليس فقط من المستحيل إزالته ، ولكن ضربة الرعد يمكن أن ينتقل من جهاز Mac المصاب إلى أجهزة Thunderbolt الأخرى ، والتي يمكن أن تخرج وتصيب المزيد من أجهزة Mac. الخبر السار: تم تطوير Thunderstrike بواسطة باحث أمني ، Trammell Hudson ، باعتباره أ إثبات المفهوم ، لذلك من غير المحتمل أن يستخدمه المجرمون أو المهاجمون أو أي شيء مشابه في البرية.

تعد منافذ Thunderbolt أقل شيوعًا على أجهزة الكمبيوتر غير التابعة لشركة Apple ، وتستخدم معظم أجهزة Windows التي تم تصنيعها في السنوات القليلة الماضية تطبيقًا لاحقًا لـ EFI ، يُسمى UEFI ، والذي لن يكون عرضة لهذا الهجوم.

أكثر: أفضل برامج مكافحة فيروسات Mac

مجموعة التمهيد هي جزء من البرامج الضارة التي تصيب أجهزة الكمبيوتر بمستوى أقل من نظام التشغيل - فهي تغير البرامج أو البرامج الثابتة المشاركة في عملية بدء التشغيل أو التمهيد قبل نظام التشغيل الرئيسي ، مثل Windows أو OS X ، الأحمال. من هذا الموقع المميز ، يمكن لمجموعة bootkit (وبالتالي المهاجمون الذين يتحكمون بها) أن تغير أو تتحكم في جميع العمليات تقريبًا على الكمبيوتر.

يبدأ Thunderstrike كبرنامج ثابت ضار مضمن في جهاز متصل بـ Thunderbolt. بمجرد توصيله بجهاز Mac ، يغير البرنامج الثابت الخبيث البرنامج الثابت للتمهيد EFI الخاص بنظام التشغيل Mac ، وهو مماثل لبرنامج BIOS الثابت على أجهزة الكمبيوتر القديمة ولكنه أكثر تعقيدًا. بسبب عيوب غير مصححة في إصدار Apple القديم من EFI، يمكن لبرنامج Thunderbolt الثابت على الجهاز المرفق التحايل على فحوصات توقيع التشفير التي تهدف إلى التأكد من أن برنامج EFI الثابت يتلقى التحديثات الصالحة فقط.

"يسمح هذا للمهاجم الذي لديه وصول فعلي إلى الجهاز بكتابة رمز غير موثوق به إلى SPI [serial واجهة طرفية] فلاش ROM على اللوحة الأم وإنشاء فئة جديدة من مجموعات تمهيد البرامج الثابتة لجهاز MacBook أنظمة ، " كتب هدسون على مدونته.

الوصول المادي إلى جهاز مستهدف ليس صعبًا كما يبدو ؛ يكفي هجوم "الخادمة الشريرة" الكلاسيكي على جهاز كمبيوتر محمول في غرفة الفندق.

لن يتمكن الكمبيوتر المصاب من تلقي المزيد من تحديثات EFI من Apple ، لأن المهاجم قد غير أقفال الباب ، إذا جاز التعبير. يتم توقيع تحديثات Apple بمفتاح تشفير ، ولكن بعد وصول Thunderstrike ، لن تلائم القفل الجديد سوى تحديثات EFI الموقعة باستخدام مفتاح التشفير الخاص بالمهاجمين.

بمجرد إصابة Thunderstrike بجهاز Mac ، يكون من الصعب جدًا القضاء عليه. حتى إعادة تثبيت نظام التشغيل أو استبدال القرص الصلب لا يكفي: فقط داخل النظام يمكن لجهاز البرمجة التخلص من rootkit واستعادة البرامج الثابتة للوحة الأم إلى وضعها الصحيح الدولة العاملة.

يمكن لـ Thunderstrike أيضًا كتابة نفسها على أجهزة Thunderbolt الأخرى المتصلة بالكمبيوتر المصاب ، والتي بدورها يمكنها الاستمرار في نشر rootkit عند توصيلها بأجهزة Mac الأخرى.

كتب هدسون: "تظل أجهزة Thunderbolt المصابة تعمل ، مما سيسمح لمجموعة التمهيد الخفية بالانتشار عبر محيط أمان الفجوة الهوائية عبر أجهزة Thunderbolt المشتركة"

سيقدم Hudson النتائج التي توصل إليها كاملة في مؤتمر اتصالات الفوضى مؤتمر الأمن في هامبورغ ، ألمانيا ، في ديسمبر. 29.

  • أفضل برامج مكافحة الفيروسات
  • كيف تحمي نفسك من خروقات البيانات
  • 12 خطأ أمني من المحتمل أن ترتكبها

جيل شار كاتبة في Tom's Guide حيث تغطي بانتظام مواضيع الأمان والطباعة ثلاثية الأبعاد وألعاب الفيديو. يمكنك إرسال بريد إلكتروني إلى جيل على [email protected] أو متابعتها على Twitter تضمين التغريدةو على Google+. تابعنا تضمين التغريدة، على موقع التواصل الاجتماعي الفيسبوك و على Google+.

احصل على وصول فوري إلى الأخبار العاجلة وأحدث المراجعات والصفقات الرائعة والنصائح المفيدة.

شكرًا لك على الاشتراك في دليل Tom. سوف تتلقى رسالة بريد إلكتروني للتحقق قريبا.

كان هناك مشكلة. يرجى تحديث الصفحة وحاول مرة أخرى.

لا بريد مزعج ، نحن نعد. يمكنك إلغاء الاشتراك في أي وقت ولن نشارك بياناتك مطلقًا دون إذنك.