Выявленная "дыра" Apple-устройствах позволяет устанавливать "вечные" трояны


AppleСпециалист по информационной безопасности Педро Вилака (Pedro Vilaca) заявил, что в компьютерах Apple, которые были выпущены до середины 2014 года, находится уязвимость, позволяющая злоумышленнику поместить в прошивку устройства вредоносный код.

Эксперт также заверил, что подобный вредоносный код будет довольно сложно убрать. При этом стандартные средства защиты, такие как антивирусные сканеры, обнаружить его не смогут. А с учетом того, что компания Apple крайне редко выпускает обновления прошивки, то можно предположить - этот вредоносный код может находиться в ней долго.

Напомним, компьютеры имеют встроенное программное обеспечение (прошивку). Именно она и осуществляет контроль за процессом загрузки, а затем передает управление операционной системе. Обычно эту прошивку называют BIOS по аналогии с названием ее старых реализаций. Более современный вариант прошивок ПК носит название UEFI.

Проблема с найденной уязвимостью в том, что после выхода компьютера из ждущего режима (режим S3) защита от перепрошивки UEFI в компьютерах Apple теряется. Таким образом, злоумышленник достаточно легко может внедрить в UEFI вредоносный код, воспользовавшись для этих целей стандартными утилитами для перепрошивки. А для того, чтобы снять защиту, ему лишь требуется перевести компьютер в ждущий режим и тут же вывести из него.

Свою теорию специалист проверил на нескольких моделях MacBook Pro Retina, MacBook Pro и MacBook Air, выпущенных до середины 2014 года. На всех моделях была установлена последняя версия прошивки, и как оказалось, все компьютеры были уязвимы к описанному методу. О наличии проблемы специалист уведомил компанию Apple, но только после того, как опубликовал информацию о своей находке. Apple пока никак не отреагировала на сообщение эксперта.

Стоит напомнить, что данный случай обнаружения уязвимости, который позволяет изменить прошивку компьютера Apple - далеко не первый. Так, в январе 2015 года, другим специалистом по информационной безопасности Хадсоном был найден способ внедрения вредоносного кода в UEFI посредством накопителя, подключенного к системе через интерфейс Thunderbolt.

Тогда было установлено, что при перезагрузке Mac-устройства, в режиме восстановления, система опрашивает накопитель, подключенный к разъему Thunderbolt. И если на этом устройстве находится какая-либо загрузочная микропрограмма, то система сначала проверяет ее на подлинность. В случае успешной проверки программа будет исполнена. Эксперту удалось обмануть этот механизм проверки.

Установлено, что между этими двумя уязвимостями, найденной Хадсоном и Вилаком, существует важное различие. Метод Вилака можно использовать дистанционно, а в случае с Thunderbolt - необходим физический доступ к компьютеру.


Обновлено (05.06.2015 10:50)