Уязвимость в производстве компьютеров Apple позволяет внедрять Трояны

[QoB 39]

В персональных компьютерах производства Apple обнаружена новая дыра , эксплуатация которой позволяет злоумышленникам перепрошивать устройства, помещая вредоносы непосредственно в EFI.

 

Как выяснил специалист по информационной безопасности Педро Вилака (Pedro Vilaca), в компьютерах фирмы Apple, выпущенных до середины 2014 года, содержится уязвимость, позволяющая злоумышленнику внедрить в прошивку вредоносный код. Удалить этот код очень сложно, более того, он практически не детектируется антивирусами.

 

Компьютеры содержат встроенное ПО (прошивку), которое управляет процессом загрузки, а затем передает контроль операционной системе. Как правило, эту прошивку называют BIOS по аналогии с названием ее старых реализаций, хотя более современная версия прошивки носит название UEFI (unified extensible firmware interface).

 

Вилака заметил, что единый интерфейс EFI позволяет проводить манипуляции с ним. Обычно код EFI скрыт от пользователей, однако при выходе компьютера из спящего режима почему-то отключается FLOCKDN — защита EFI от доступа приложений из пространства пользователя. Это позволяет злоумышленнику с легкостью внедрить в EFI вредоносный код. Для того чтобы снять защиту, потребуется всего лишь перевести компьютер в спящий режим и затем вывести из него. При этом переустановка системы и даже замена винчестера вернуться к исходному состоянию EFI не помогут.

 

Исследователь протестировал метод атаки на моделях MacBook Pro Retina, MacBook Pro 8.2 и MacBook Air, выпущенных до середины 2014 года. На всех компьютерах была установлена последняя версия прошивки, и все они оказались уязвимыми. Эксперт оповестил о проблеме руководство Apple, однако компания пока никак не отреагировала на ситуацию.

 

Это не первый случай, когда специалисты сообщают о возможности модифицирования прошивки «яблочных» ПК. В декабре прошлого года программист Трэммэл Хадсон (Trammell Hudson) сообщил о дыре в прошивке Apple EFI, позволяющей установить вредоносное ПО в ПЗУ начальной загрузки популярных ноутбуков MacBook.