Apple Thunderbolt kablosunun her iki ucu. Kredi: Apple
(Resim kredisi: Apple Thunderbolt kablosunun her iki ucu. Kredi: Apple)

Gök gürültüsü ve şimşek o kadar korkutucu olmayabilir, ancak Thunderbolt aygıtları aracılığıyla yayılan yeni Mac kötü amaçlı yazılımları kesinlikle öyledir. Yaratıcısı tarafından Thunderstrike olarak adlandırılan bu, Thunderbolt bağlantılı kötü niyetli birinden yayılan bir önyükleme kiti aygıt ve Apple'ın EFI bellenimindeki bilinen güvenlik açıklarını virüslü Mac'lere yazmak için kullanır. anakart.

Yalnızca kaldırılması neredeyse imkansız değil, aynı zamanda Thunderstrike virüslü Mac'ten diğer Thunderbolt cihazlarına sıçrayabilir ve bu da daha sonra dışarı çıkıp daha fazla Mac'e bulaşabilir. İyi haber: Thunderstrike, bir güvenlik araştırmacısı Trammell Hudson tarafından kavram kanıtı, bu nedenle suçluların veya saldırganların bunu veya benzeri bir şeyi kullanması pek olası değildir vahşi doğada.

Thunderbolt bağlantı noktaları, Apple olmayan bilgisayarlarda daha az yaygındır ve son birkaç yılda üretilen çoğu Windows makinesi, bu saldırıya karşı savunmasız olmayacak, UEFI adı verilen daha sonraki bir EFI uygulamasını kullanır.

DAHA: En İyi Mac Antivirüs Yazılımı

Önyükleme kiti, bilgisayarları işletim sisteminin altında bir düzeyde etkileyen bir kötü amaçlı yazılım parçasıdır - yazılımı değiştirir veya Windows veya OS X gibi ana işletim sisteminden önce başlatma veya önyükleme sürecine dahil olan bellenim, yükler. Bu avantajlı konumdan, bootkit (ve dolayısıyla onu kontrol eden saldırganlar) bir bilgisayardaki neredeyse tüm işlemleri değiştirebilir veya kontrol edebilir.

Thunderstrike, Thunderbolt bağlantılı bir aygıta gömülü kötü amaçlı ürün yazılımı olarak başlar. Kötü amaçlı aygıt yazılımı, bir Mac'e bağlandığında, Mac'in EFI önyükleme aygıt yazılımını değiştirir, eski PC'lerdeki BIOS aygıt yazılımına benzer, ancak çok daha karmaşıktır. Yüzünden Apple'ın eski EFI sürümündeki düzeltilmemiş kusurlar, bağlı aygıttaki Thunderbolt ürün yazılımı, EFI ürün yazılımının yalnızca geçerli güncellemeleri aldığından emin olmayı amaçlayan kriptografik imza kontrollerini atlatabilir.

"Bu, makineye fiziksel erişimi olan bir saldırganın güvenilmeyen kodu SPI [seri çevre birimi arabirimi] anakartta ROM'u flaş eder ve MacBook için yeni bir aygıt yazılımı önyükleme takımı sınıfı oluşturur sistemler " Hudson bloguna yazdı.

Hedeflenen bir makineye fiziksel erişim göründüğü kadar zor değildir; otel odasında bırakılan bir dizüstü bilgisayara klasik bir "şeytani hizmetçi" saldırısı yeterli olacaktır.

Saldırgan tabiri caizse kapının kilitlerini değiştirdiği için virüs bulaşan bilgisayar Apple'dan daha fazla EFI güncellemesi alamayacak. Apple güncellemeleri bir kriptografik anahtarla imzalanır, ancak Thunderstrike isabetinden sonra yalnızca saldırganların kendi şifreleme anahtarıyla imzalanan EFI güncellemeleri yeni kilide uyacaktır.

Thunderstrike bir Mac'e bulaştığında, ortadan kaldırmak çok zordur. İşletim sistemini yeniden yüklemek veya sabit sürücüyü değiştirmek bile yeterli değildir: sadece bir sistem içi programlama cihazı, rootkit'i ortadan kaldırabilir ve anakartın ürün yazılımını uygun şekilde geri yükleyebilir işleyen durum.

Thunderstrike, kendisini virüslü bilgisayara bağlı diğer Thunderbolt cihazlarına da yazabilir, bu da diğer Mac'lere takıldığında kök setini yaymaya devam edebilir.

Hudson, "[Enfekte Thunderbolt] cihazları işlevsel olmaya devam ediyor ve bu da gizli bir önyükleme setinin, paylaşılan Thunderbolt cihazları aracılığıyla hava boşluğu güvenlik çevrelerine yayılmasına izin verecek," diye yazdı.

Hudson tüm bulgularını Kaos İletişim Kongresi Almanya'nın Hamburg kentinde düzenlenen güvenlik konferansı. 29.

  • En İyi Antivirüs Yazılımı
  • Veri İhlallerinden Nasıl Koruyabilirsiniz?
  • Muhtemelen Yaptığınız 12 Güvenlik Hatası

Jill Scharr, düzenli olarak güvenlik, 3D baskı ve video oyunlarını ele aldığı Tom's Guide için çalışan bir yazardır. Jill'e [email protected] adresinden e-posta gönderebilir veya onu Twitter'da takip edebilirsiniz. @Hayalhanemersinve üzerinde Google+. Bizi takip et @tomsguide, üzerinde Facebook ve üzerinde Google+.

Flaş haberlere, en yeni incelemelere, harika fırsatlara ve faydalı ipuçlarına anında erişin.

Tom's Guide'a kaydolduğunuz için teşekkür ederiz. Kısa süre içinde bir doğrulama e-postası alacaksınız.

Bir problem vardı. Lütfen sayfayı yenileyin ve tekrar deneyin.

Spam yok, söz veriyoruz. İstediğiniz zaman aboneliğinizi iptal edebilirsiniz ve izniniz olmadan bilgilerinizi asla paylaşmayız.