Masz Maka z portem Thunderbolt? Zatem jesteś narażony na atak
Komputery Apple wyposażone w port Thunderbolt są narażone na niebezpieczeństwo w postaci Thunder Struck. Wystarczy podpięcie do Maka zainfekowanego urządzenia, by przejąć nad nim kontrolę. Co więcej, infekcja będzie na tyle poważna, że przetrwa reinstalację systemu operacyjnego, a nawet wymianę dysku twardego.
Jak donosi serwis Niebezpiecznik.pl, atak jest możliwy dzięki elementowi standardu Thunderbolt o nazwie Option ROM. Jego modyfikacja umożliwia obejście podpisów kryptograficznych gwarantujących poprawność i bezpieczeństwo działania programu rozruchowego, czyli bootowania komputera. Jak wiadomo, program rozruchowy, boot loader, jest uruchamiany jako pierwszy po uruchomieniu BIOS-u lub EFI, jego nowszej wersji.
Łatwo się zatem domyśleć, że opisywane tu złośliwe oprogramowanie gnieździ się właśnie w interfejsie EFI. Cyberprzestępca może wstrzyknąć swój program bezpośrednio do pamięci ROM, na której znajduje się EFI, tym samym tworząc złośliwy bootkit, program startowy.
Tym samym jego wykrycie jest praktycznie niemożliwe.
EFI odpowiada bowiem za pierwsze instrukcje wykonywane po uruchomieniu komputera. Przez to, że nie znajduje się on na dysku twardym, niemożliwe będzie znalezienie go przez jakiekolwiek oprogramowanie antywirusowe, a wirus nadal będzie znajdował się na komputerze nawet po reinstalacji systemu operacyjnego lub fizycznej wymianie dysku w komputerze. Mac zostanie zainfekowany na dobre. Może wydawać się, że jedynym sposobem na powrót do normalności będzie przeflashowanie komputera i wgranie normalnego EFI, tym razem pozbawionego złośliwego oprogramowania.
Niestety, także on nie zadziała. Wszystko dlatego, że przy okazji aktualizowania EFI przez złośliwe oprogramowanie zmieni się klucz prywatny Apple, którego znajomość jest wymagana do aktualizacji oprogramowania. Oznacza to, że jedyną możliwością usunięcia bootkitu jest sprzętowe nadpisanie układów pamięci, czego praktycznie nie da się zrobić w domowych warunkach. Co więcej, robak może automatycznie zarażać kolejne sprzęty korzystające z interfejsu Thunderbolt, na przykład przenośne dyski twarde. Z kolei te po podłączeniu do innych Maków będą automatycznie infekować i je.
Warto też przyznać, że choć to komputery Apple są najbardziej podatne na tego typu ataki, to dotyczy on każdej maszyny wyposażonej w port Thunderbolt. Można podejrzewać, że przestępcy wzięli się w pierwszej kolejności za komputery Apple, ponieważ Apple dba o ich standaryzację, co powoduje mniej pracy przy tworzeniu złośliwego oprogramowania, nawet tak wyrafinowanego jak Thunder Struck. No i są jednymi z najchętniej sprzedawanych rodzajów komputerów na świecie, to też nie jest bez znaczenia.
Oznacza to, że prędzej czy później pojawią się podobne wirusy przeznaczone dla komputerów innych firm. Zresztą nawet jeśli nie macie portu Thunderbolt w komputerze, jesteście narażeni na atak. Podobny problem dotyczy też portów USB, które od 15 lat są instalowane praktycznie w każdym komputerze, oraz portów FireWire, które zresztą zastąpił właśnie Thunderbolt.
Żeby było ciekawiej, podatność interfejsu Thunderbolt na ataki jest znana od około dwóch lat.
Możliwe więc jest, że służby stosują jego słabość w stosunku do innych komputerów, ale nie mówią tego otwarcie. Jeżeli obawiacie się, że wasz MacBook zostanie zainfekowany za pomocą portów Thunderbolt, możecie się przed tym bronić. Wystarczy mieć komputer cały czas na oku i nie podłączać do niego nieznanych sprzętów. Jeżeli nie używacie portów Thunderbolt, można też rozważyć fizyczne odłączenie ich od płyty głównej. Co prawda w ten sposób narazicie się na utratę gwarancji, ale będziecie mieć pewność, że pod waszą nieobecność nikt nie dobierze się do waszego komputera.
---
Zdjęcie główne pochodzi z serwisu Shutterstock.
