Thunderstrike kan ta över en Mac

En ny allvarlig säkerhetsbrist har upptäckts i Mac-datorer med Thunderbolt-portar, som gör att elakartad programvara kan installeras enkelt genom att bara starta om datorn.

En allvarlig säkerhetsbrist för Mac-datorer har avslöjats på konferensen Chaos Communication Congress som gör att en illasinnad person kan installera en så kallad bakdörr på en dator endast genom att för en kort stund ha fysiskt tillträde till den. Genom ett förberett Thunderbolt-tillbehör kan ny fast programvara - så kallad firmware - installeras på datorn medan den startar upp och laddar det som kallas Option ROM.

Ett fungerande koncept av attacken demonstrerades på konferensen av Trammell Hudson, som upptäckte bristen. Hudson är anställd på den amerikanska teknikrelaterade hedgefonden Two Sigma Investments, och arbetade där med att säkra fondens egna Mac-datorer. Denna malware har fått namnet Thunderstrike, genom att den installeras genom Thunderbolt-porten.

Går ej att identifiera en attack

Det finns inga kända exempel på att attacken använts i det fria, men samtidigt finns det i dagsläget inget sätt att identifiera en sådan attack. Detta på grund av att Thunderstrike har förmågan att installera kod i Mac-datorns fasta programvara EFI genom att uppdatera den. EFI (Extensible Firmware Interface) är det mest grundläggande programmet som körs när datorn startar, och ansvarar för att ladda bland annat tillbehör som bildskärm, tangentbord samt det inbyggda minnet och andra processer innan själva operativsystemet laddas.

Den installerade koden ersätter den krypteringsnyckel som Mac-datorer använder för att kontrollera att endast godkänd fast programvara är installerad. Därefter kan den anslutna Thunderbolt-enheten installera fast programvara som inte enkelt kan tas bort av någon som inte har den nya krypteringsnyckeln. Eftersom den skadliga koden sitter i den fasta programvaran blir den kvar även efter en ominstallation av operativsystemet och rentav en hårddiskformatering.

För att installera Thunderstrike på en dator krävs alltså ingenting annat än några sekunders fysisk tillgång till datorn. Även om maskinen är låst med ett lösenord krävs bara en omstart. Inte heller ett Firmware-lösenord eller kryptering med Filevault skyddar eftersom installationen av Option ROM sker innan dessa laddas av datorn.

Kan användas av NSA

Trammell Hudsons presentation av Thunderstrike finns tillgängligt som en Youtube-video, där Hudson i detalj beskriver processen. Enligt honom är det också enkelt att tänka sig hur Thunderstrike skulle kunna tillämpas av exempelvis den amerikanska underrättelsetjänsten NSA. Edward Snowden har tidigare avslöjat hur NSA kan öppna paket som innehåller datorutrustning som skickats med posten. NSA kan öppna paketet, modifiera utrustningen och skicka den vidare.

Ett annat tänkbart scenario är en kvarlämnad dator på ett hotellrum, där agenter kan agera personal och slå till mot datorn samtidigt som de byter handdukar, säger Hudson. Kontroller vid gränstullar är en annan situation där datorer ofta lämnar ägarens händer tillfälligt, och något som inte går att skydda sig mot på något effektivt sätt.

Trammell Hudson säger att det är Mac-datorer från 2011 och framåt som är känsliga för attacken, vilket var när Thunderbolt-portar började dyka upp. Han har själv testat sex eller sju olika modeller.

Hudson har varit i kontakt med Apple angående problemet och uppger att de har släppt en uppdatering till de senaste Mac-modellerna Imac 5K och nya Mac Mini så att Option ROM inte längre kan installeras under uppdatering av den fasta programvaran. Denna uppdatering ska också snart släppas till äldre Mac-datorer.

Detta skyddar mot Thunderstrike i sitt nuvarande utförande, men datorerna skulle fortfarande kunna vara sårbara mot andra varianter, eftersom Option ROM fortfarande laddas under en normal uppstart. Äldre Mac-datorer kan också fortfarande attackeras genom att en äldre version av den fasta programvaran installeras, som är mottaglig för Thunderstrike.

Ett mer drastiskt skydd mot attacker är att klistra igen Thunderbolt-porten på sin dator. Detta försvårar åtkomst, men gör också givetvis att Thunderbolt-porten inte kan användas för andra syften.

Skriven av Jakob Nilsson
Kommentarer
2 svar

Datorspelen Portal och Portal 2 har blivit kända bland annat för sina stämingsfulla avslutningslåtar, och här kommer ännu mer musik inspirerad av Portal.

Med den modulära datorn Kano kan vem som helst lära sig att skruva ihop sin egen hårdvara för ett flertal olika användningsområden. Med Kano Code går det också att lära sig grundläggande programmering. 99mac har pratat med Tommy Säl, som arbetar på Kickstarter-succén.

Super Mario Run släpps nästa vecka, och väntas bli ohyggligt populärt. Nu avslöjas dock att spelet kräver uppkoppling mot internet för att fungera.

Läs för dina barn eller själv en ordentlig julsaga i interaktiv form på Ipad, Iphone eller Android när Snobbens ägare Charlie Brown letar julens mening.

Bakom lucka nio i Geeks Julkalender döljer sig både ett fint erbjudande på tangentbordet G610 Orion Red från Logitech, och en tävling där du kan vinna tangentbordet, spelmus och andra tillbehör.

Nintendos USA-chef Reggie Fils-Aime säger att IOS-spelet Super Mario Run inte kommer att dyka upp på den kommande konsolen Nintendo Switch, men en version för Apple TV kan inte uteslutas.