MacBook爆EFI 重大漏洞,可透過Thunderbolt在韌體植入難以移除的bootkit
資安研究人員Trammell Hudson準備在下周於德國舉行的「混沌通訊大會」(Chaos Communication Congress)上展示蘋果MacBook的安全漏洞,該漏洞讓駭客可藉由Thunderbolt介面將bootkit惡意程式植入系統的韌體,就算MacBook用戶重灌作業系統或更換硬碟都無法清除此bootkit。同時惡意程式還可感染Thunderbolt裝置而散播到其他的MacBook。
Hudson說明,駭客有可能利用Thunderbolt Option ROM來規避蘋果擴展韌體介面(Extensible Firmware Interface,EFI)定期更新時的加密簽章檢查,並將程式碼寫入MacBook主機板上的序列周邊介面(Serial Peripheral Interface,SPI)唯讀記憶體(ROM)中,以建立一個韌體等級的bootkit。
bootkit類似rootkit,可以持續藏匿在系統中而不被察覺,只是rootkit通常偽裝成驅動程式,而bootkit則是直接進駐在開機韌體中,在作業系統載入前就已存在,因此更難偵測也更難移除。
此一攻擊所使用的Option ROM漏洞已存在兩年,只要幾行程式就能修補,但較難處理的是蘋果EFI韌體的安全性以及在沒有可靠硬體下如何安全啟動的問題。
啥?「藉由Thunderbolt介面將bootkit惡意程式植入系統的韌體」?這種安全性漏洞就很可笑了!換句話說,要有人拿著Thunderbolt介面的硬碟(沒有Flash隨身碟有支援Thunderbolt介面)到我的電腦上,才有可能植入bootkit惡意程式!