Thunderstrike kan ta över en Mac
En ny allvarlig säkerhetsbrist har upptäckts i Mac-datorer med Thunderbolt-portar, som gör att elakartad programvara kan installeras enkelt genom att bara starta om datorn.
En allvarlig säkerhetsbrist för Mac-datorer har avslöjats på konferensen Chaos Communication Congress som gör att en illasinnad person kan installera en så kallad bakdörr på en dator endast genom att för en kort stund ha fysiskt tillträde till den. Genom ett förberett Thunderbolt-tillbehör kan ny fast programvara - så kallad firmware - installeras på datorn medan den startar upp och laddar det som kallas Option ROM.
Ett fungerande koncept av attacken demonstrerades på konferensen av Trammell Hudson, som upptäckte bristen. Hudson är anställd på den amerikanska teknikrelaterade hedgefonden Two Sigma Investments, och arbetade där med att säkra fondens egna Mac-datorer. Denna malware har fått namnet Thunderstrike, genom att den installeras genom Thunderbolt-porten.
Går ej att identifiera en attack
Trammell Hudson.
Det finns inga kända exempel på att attacken använts i det fria, men samtidigt finns det i dagsläget inget sätt att identifiera en sådan attack. Detta på grund av att Thunderstrike har förmågan att installera kod i Mac-datorns fasta programvara EFI genom att uppdatera den. EFI (Extensible Firmware Interface) är det mest grundläggande programmet som körs när datorn startar, och ansvarar för att ladda bland annat tillbehör som bildskärm, tangentbord samt det inbyggda minnet och andra processer innan själva operativsystemet laddas.
Den installerade koden ersätter den krypteringsnyckel som Mac-datorer använder för att kontrollera att endast godkänd fast programvara är installerad. Därefter kan den anslutna Thunderbolt-enheten installera fast programvara som inte enkelt kan tas bort av någon som inte har den nya krypteringsnyckeln. Eftersom den skadliga koden sitter i den fasta programvaran blir den kvar även efter en ominstallation av operativsystemet och rentav en hårddiskformatering.
För att installera Thunderstrike på en dator krävs alltså ingenting annat än några sekunders fysisk tillgång till datorn. Även om maskinen är låst med ett lösenord krävs bara en omstart. Inte heller ett Firmware-lösenord eller kryptering med Filevault skyddar eftersom installationen av Option ROM sker innan dessa laddas av datorn.
Attacken installeras genom Thunderbolt-porten.
Bild: Trammel Hudson
Kan användas av NSA
Trammell Hudsons presentation av Thunderstrike finns tillgängligt som en Youtube-video, där Hudson i detalj beskriver processen. Enligt honom är det också enkelt att tänka sig hur Thunderstrike skulle kunna tillämpas av exempelvis den amerikanska underrättelsetjänsten NSA. Edward Snowden har tidigare avslöjat hur NSA kan öppna paket som innehåller datorutrustning som skickats med posten. NSA kan öppna paketet, modifiera utrustningen och skicka den vidare.
Ett annat tänkbart scenario är en kvarlämnad dator på ett hotellrum, där agenter kan agera personal och slå till mot datorn samtidigt som de byter handdukar, säger Hudson. Kontroller vid gränstullar är en annan situation där datorer ofta lämnar ägarens händer tillfälligt, och något som inte går att skydda sig mot på något effektivt sätt.
Trammell Hudson säger att det är Mac-datorer från 2011 och framåt som är känsliga för attacken, vilket var när Thunderbolt-portar började dyka upp. Han har själv testat sex eller sju olika modeller.
Hudson har varit i kontakt med Apple angående problemet och uppger att de har släppt en uppdatering till de senaste Mac-modellerna Imac 5K och nya Mac Mini så att Option ROM inte längre kan installeras under uppdatering av den fasta programvaran. Denna uppdatering ska också snart släppas till äldre Mac-datorer.
Detta skyddar mot Thunderstrike i sitt nuvarande utförande, men datorerna skulle fortfarande kunna vara sårbara mot andra varianter, eftersom Option ROM fortfarande laddas under en normal uppstart. Äldre Mac-datorer kan också fortfarande attackeras genom att en äldre version av den fasta programvaran installeras, som är mottaglig för Thunderstrike.
Ett mer drastiskt skydd mot attacker är att klistra igen Thunderbolt-porten på sin dator. Detta försvårar åtkomst, men gör också givetvis att Thunderbolt-porten inte kan användas för andra syften.