В комп’ютерах Apple знайдена “діра”, що дозволяє встановлювати “вічні” трояни

В комп’ютерах Apple знайдена нова вразливість, що дозволяє хакерам перепрошивати пристрої, поміщаючи трояни безпосередньо в «біос». Такий шкідливий код важко виявити і видалити.

Mac
Mac

У комп’ютерах Apple, Що були випущені до середини 2014, є вразливість, що дозволяє зловмисникові помістити в прошивку пристрою шкідливий код, розповів у своєму блозі фахівець з інформаційної безпеки Педро Вілака (Pedro Vilaca).

Такий шкідливий код буде дуже важко прибрати, і стандартні засоби захисту – такі як антивірусні сканери – не зможуть його виявити, розповів експерт. А так як Apple випускає оновлення прошивки дуже рідко, цей шкідливий код може знаходитися в ній дуже довго.

Комп’ютери мають вбудоване програмне забезпечення (BIOS), яка контролює процес завантаження, а потім передає управління операційній системі. На сучасних ПК прошивку називають UEFI.

Проблема зі знайденою вразливістю полягає в тому, що після виходу комп’ютера з режиму очікування, захист від перепрошивки UEFI в комп’ютерах Apple втрачається. Таким чином, зловмисник може легко впровадити в UEFI шкідливий код, скориставшись стандартними утилітами для перепрошивки. Щоб зняти захист, йому лише потрібно перевести комп’ютер в режим очікування і тут же вивести з нього.

За словами Вілака, він перевірив свою теорію на кількох моделях MacBook Pro Retina, MacBook Pro і MacBook Air, випущених до середини 2014 р На всіх моделях була встановлена ​​остання версія прошивки, і всі комп’ютери виявилися вразливими до описаного методу. Експерт сповістив про наявність проблеми компанію Apple, але лише після того, як опублікував інформацію про свою знахідку. «Яблучна компанія» на повідомлення Вілака поки ніяк не відреагувала, в тім, це її звичайна поведінка.

Це вже не перший випадок виявлення вразливості, що дозволяє змінити прошивку комп’ютера Apple. В січні 2015 фахівець з інформаційної безпеки Траммел Хадсон (Trammell Hudson) знайшов спосіб впровадження шкідливого коду в UEFI з допомогою накопичувача, підключеного до системи через інтерфейс Thunderbolt.

Хадсон виявив, що при перезавантаженні Mac в режимі відновлення система опитує накопичувач, підключений до гнізда Thunderbolt. І якщо на цьому пристрої є яка-небудь завантажувальна мікропрограма, то система спочатку перевіряє її на справжність. Якщо перевірка пройшла успішно – виконує. Експерт знайшов спосіб обдурити цей механізм перевірки.

Між вразливістю, знайденої Хадсоном, і «дірою», виявленої Вілаком, існує важлива відмінність. Вілак стверджує, що його метод можна використовувати дистанційно, тоді як у випадку з Thunderbolt необхідний фізичний доступ до комп’ютера.