Hacking

Quando l’attacco al Mac arriva tramite la porta Thunderbolt

Un ricercatore di sicurezza ha scoperto un modo semplice per infettare i computer Macintosh di Apple utilizzando la comune porta Thunderbolt.
L’hack è stato presentato dall’esperto di programmazione Trammell Hudson durante l’annuale Chaos Computer Congress  ad Amburgo in Germania.
Egli ha dimostrato che è possibile riscrivere il firmware di Intel attraverso la porta Thunderbolt!
Il procedimento soprannominato Thunderstrike, sfrutta il vantaggio dato da una vulnerabilità presente nell’Option ROM Thunderbolt che per la prima volta venne descritto nel 2012, ma non è ancora stato messo a posto da una patch. Thunderstrike può infettare l’Apple Extensible Firmware Interface (EFI), assegnando un codice maligno nella ROM di avvio di un computer Apple.

Antivirus Mac comparativa

Thunderbolt port Attack
L’hack è davvero pericoloso, secondo il ricercatore, e non vi è alcun mezzo per l’utente di rilevare l’hack, o rimuoverlo anche facendo una nuova installazione completa del sistema operativo, perché il codice maligno è in realtà nel proprio sistema ROM.
Dal momento che la ROM di avvio è indipendente dal sistema operativo, la reinstallazione di OS X non rimuove il problema. Quindi qualsiasi informazione archiviata sul disco, in modo da sostituire il disco fisso non ha alcun effetto.
Un dispositivo hardware inserito nel sistema di programmazione è l’unico modo per ripristinare il firmware.
Hudson ha anche mostrato che poteva sostituire la propria chiave di crittografia di Apple con una nuova, che impedirà agli aggiornamenti firmware legittimi di essere accettati.

“Non ci sono né controlli hardware né software di crittografia al boot di validità firmware, quindi una volta che il codice maligno è stato messo nella ROM, si potrebbero utilizzare SMM e altre tecniche per nascondersi dai tentativi di rilevarla.”

Oltre a scrivere un codice personalizzato per la ROM di avvio, la presentazione di Hudson rileva anche un metodo con il quale il bootkit si potrebbe replicare a qualsiasi dispositivo Thunderbolt collegato, dandogli la capacità di diffondersi attraverso le reti.
È possibile guardare l’intera presentazione di  Hudson, e vedere il suo progetto Thunderstrike 31c3 per intero.

Si può presumere che la vulnerabilità possa essere sfruttata solo se l’attaccante ha accesso fisico alla porta Thunderbolt dei Mac.
Pertanto, un utente normale Mac non deve preoccuparsi dell’hack se si limita ad usare la rete Internet.

Aggiornamento patch

Antivirus Mac comparativa

Martedì 27 gennaio la Apple ha rilasciato l’aggiornamento Mac OS X 10.10.2, probabilmente questo aggiornamento contiene una correzione per la vulnerabilità Thunderstrike.
L’aggiornamento che risolve la vulnerabilità Thunderstrike è però stato reso disponibile solo per i computer che eseguono Yosemite, cioè l’ultima versione di OS X.
I Mac che eseguono versioni precedenti di Mac OS X rimangono vulnerabili!
Se avete un Mac con Thunderbolt o un vecchio sistema, c’è quindi un motivo in più per fare l’aggiornamento a Yosemite, non appena possibile.

Prova Mackeeper l’antivirus pensato per il Mac, scarica la versione di prova o acquistalo sul sito del produttore.

Download MacKeeperDownload MacKeeper