Специалистом найдена брешь в прошивке Apple EFI

037 Программистом Trammell Hudson был оформлен отчёт о найденной им ошибке. В сообщении говорится о возможности перепрошить Apple EFI таким образом, чтобы добавить дополнительный исполняемый код перед начальной загрузкой ноутбука.

Потенциально злоумышленники могут воспользоваться этим, чтобы скомпрометировать всю систему. Проблема может присутствовать в большей части Macbook, где используется Apple EFI.

Как считает специалист, устанавливаться буткит может через разъём Thunderbolt. Через этот же порт вероятно произойдёт заражение иных девайсов, которые будут подключены к инфицированному ноутбуку . Что самое опасное, буткит не получится удалить простой переустановкой операционной системы Mac Os X, равно как и сменой жёсткого диска. Прописывается код в ПЗУ, защищая свою целостность.

В автозагрузке ПЗУ можно использовать не только для исполнения нужного злоумышленнику кода, но и для отключения проверки цифровой подписи, подтверждающей лицензию на соответствующий программный продукт Apple. Если у хакера имеется физический доступ к целевой машине, для микросхемы SPI flash ROM вполне реально написать собственный код, который приведёт к созданию нового буткита под Mac.

Для сокрытия своего пребывания в системе вредоносный софт может воспользоваться SMM виртуализацией, а также целым рядом иных известных техник фоновой работы. Поскольку аппаратная и криптографическая проверка всей системы во время загрузки Mac Os X не осуществляется, это потенциально приводит к большим проблемам пользователей. Данная брешь уже не первая, обнаруженная в ПО Apple за последний год. Официальная реакция корпорации на отчёт Trammell Hudson ещё не последовала.