据报道,研究人员 Trammell Hudson 将在下周德国举行的 Chaos Communication Congress 安全会议上展示一种新方法,这种方法可以通过特别制作的 Thunderbolt 设备在 Mac EFI 启动固件中注入几乎无法移除的 Bootkit 病毒。此举利用了 Thunderbolt ROM 中的设计缺陷,这个缺陷在2012年就已经被发现,但是一直没有被修正。
除了将任意代码写入启动 ROM,Hudson 还将展示 bootkit 病毒自我复制至任意 Thunderbolt 设备的方法,此举会让大量 Thunderbolt 会中招,并感染更多 Mac 电脑。
』图示:Thunderbolt设备可从Mac EFI漏洞注入病毒
存在于主板的 ROM 上的病毒代码很顽固,即使用户重新安装 OS X 或更换硬盘也无法将其移除。Hudson 表示,他甚至可以使用新加密匙替代苹果的加密密匙,阻止能移除病毒的固件升级。他表示:“硬件和软件加密检查都无法验证固件真实性,当恶意代码被写入 ROM 后,它能控制系统,可以使用 SMM 和其他技术隐藏自己,避免被发现。”
虽然Hudson 的攻击需要能访问到用户的Mac,只能通过 Thunderbolt 设备传播的方式也不会带来太大麻烦。但是如此底层的安全漏洞危害很大,之前曾经有黑客利用全盘加密系统的漏洞攻击 EFI。
【点击进入“天极网企业频道”认证微博】
文章出处:天极网
