苹果Mac系列计算机一直以安全著称,但是最近这一大特色受到了黑客的威胁。随着用户越来越多,黑客开始瞄准这一平台,最近有一种新型恶意软件Thunderstrike,利用苹果EFI固件中已知的安全漏洞将自己写入到受感染Mac的主板当中,通过Thunderbolt设备传播,类似病毒一样。
这种恶意软件不仅几乎无法删除,且受感染的Mac还能够再次将其传播到另一部Thunderbolt设备上。不过好消息是,Thunderstrike是由安全专家Trammell Hudson所开发的,仅作为概念验证之用。因此,黑客们基本不可能使用它或任何相似的东西来发动攻击。
Bootkit类病毒是一种会在操作系统层面之下感染计算机的恶意软件,它会改变主操作系统之前开启或启动进程相关软件或固件。由于具备这种“领先优势”,Bootkit类病毒可以改变或控制计算机的几乎所有进程。
Thunderstrike首先会作为恶意固件嵌入在Thunderbolt设备当中。当插入Mac之后,该恶意固件会改变Mac的EFI启动固件,后者相当于PC上的BIOS固件,但更加复杂。因为苹果老版EFI当中存在未被修复的漏洞,相连设备当中的Thunderbolt固件可以规避加密签名检查,而检查的目的正是确保EFI固件只能接收到有效的更新。
“这让有能力和设备进行物理接触的攻击者将不受信任的代码写入到主板的SPI(串行外设接口)闪存ROM当中,并为MacBook系统创建新的固件bootkit。”Hudson在博客当中这样写道。
随后,受感染的计算机将无法再从苹果那里获得进一步的EFI升级,因为攻击者已经把“门锁”给换掉了。苹果的升级都是通过加密密钥进行签名的,但在遭受Thunderstrike攻击之后,只有攻击者自己的加密密钥才能配得上这把新锁。
受感染之后,这种恶意软件是很难被消灭的。重装系统或更换硬盘都无济于事,只有在系统编程(In-system Programming)设备能够消灭该rootkit,并将主板固件恢复到可正常工作的状态。