Atrasta klaida leidžianti senesniuose Mac'uose modifikuoti jų UEFI

Temos: Mac, Saugumas
OS X klaida

OS X saugumo ekspertas aptiko naują klaidą, kuri leidžia modifikuoti senesnių Mac aparatinę įrangą (firmware).

OS X saugumo ekspertas Pedro Vilaca savaitgalį paskelbė savo atradimą - „zero-day“ pažeidžiamumą, kuris senesniuose Mac modeliuose leidžia modifikuoti Mac’o UEFI (unified extensible firmware interface) ir įdiegti „rootkit“ kenkėjišką kodą, kuris yra beveik nepatinkamas ir labai sunkiai pašalinamas.

Įprastai UEFI kodai yra užrakinti, tačiau Vilaca aptiko, kad kai Apple kompiuteriai pagaminti iki 2014 metų vidurio užmiega ir yra vėl pažadinami - UEFI apsauga nuo rašymo suveikia ne iš karto ir dar kurį laiką UEFI kodą galima modifikuoti.

Vilaca sako, kad vienintelis būdas kompiuterį apsaugoti nuo šio pažeidžiamo yra jį išjunginėti ir niekada neleisti jam užmigti. Panaši spraga, pavadinta „Thunderstrike“[1] buvo aptikta pernai metais, tačiau Vilaca tvirtina, kad jo naujai aptikta yra kur kas pavojingesnė, nes ja pasinaudoti galima nuotoliniu būdu (norint pasinaudoti „Thunderstrike“ saugumo spraga reikalingas fizinis priėjimas prie Mac kompiuterio turinčio Thunderbolt jungtį).

Šios saugumo spragos pavojingumas nėra vien tame, kad norint modifikuoti UEFI nereikia turėti fizinio priėjimo prie Mac, bet ir tame, kad galimybė valdyti Mac, kuriame yra modifikuotas, su kenkėjišku kodu, UEFI - išliks net ir suformatavus ar įdiegus naują kompiuterinį diską.

Ataka buvo patikrinta su MacBook Pro Retina, MacBook Pro 8.2 ir MacBook Air su įdiegtomis naujausiomis EFI versijomis ir visuose trijuose kompiuterių modeliuose ji pavyko sėkmingai. 2014 metais pagamintuose Mac kompiuteriuose šio pažeidžiamo nėra ir tai leidžia manyti, kad Apple apie šią spragą žino, tačiau senesniuose Mac modeliuose jos dar neužtaisė.

Panašu, kad Vilaka prieš paviešindamas, šios klaidos detales, apie savo atradimą, Apple neinformavo. Daugelis kompanijų skatina saugumo ekspertus informuojančius apie sistemų klaidas (Apple nėra viena tokių kompanijų) ir tokie klaidų paviešinimai „iš anksto neįspėjus“ daugelių kompanijų atstovus verčia žaliuoti ir rautis plaukus nuo galvų. Vilaka savo bloge rašo, kad neturi tikso erzinti Apple, jis tik nori, kad OS X taptų geresnė.

Jei domina daugiau techninės informacijos apie šią saugumo spragą - skaitykite, švelniai tariant, įdomaus pavadinimo :) „reverse.put.as“ Pedro Vilaca bloge paskelbtą straipsnį.


  1. saugumo eksperto Trammell Hudson aptiktą ir 2014 metų gruodį Hamburge vykusioje „Chaos Communication Congress“ konferencijoje pademonstruotą saugumo spragą pavadintą „Thunderstrike“, leidžiančią modifikuoti Mac kompiuterių UEFI per Thunderbolt jungtį, Apple užtaisė išleisdama OS X 10.10.2 atnaujinimą.  ↩

Apytikslis skaitymo laikas – 2 minutės.
Pasidalinti straipsniu:

Apie Ramūną Blavaščiūną

Fotografijos, geros technikos ir kavos mylėtojas, didelę savo laisvalaikio dalį skiriantis straipsnių „Mac Arena“ rašymui.

Komentarų: 4 | Ačiū, kad rašote lietuviškai

  1. norėčiau rizikos vertinimo schemos:
    - kaip patikrinti, ar turimas mac pažeidžiamas?
    - kokia tikimybė, kad prie pažeidžiamo mac kas nors bandys lįsti?
    - kokią realią žalą gali padaryti užkratas?

Parašykite komentarą

Jūsų elektroninio pašto adresas nebus viešinamas. Būtini laukai pažymėti *

*