Kan ta kontroll over Mac-en din for alltid

«Thunderstrike» er umulig å oppdage og umulig å fjerne.

I høst skrev vi om et gigantisk sikkerhetshull, BadUSB, som gjør alle USB-enheter du kobler til PC-en din til potensielle skadevarebomber. Nå har sikkerhetseksperten Trammell Hudson demonstrert et lignende sikkerhetshull, men denne gangen er det Thunderbolt-grensesnittet som er berørt. Det skriver Extremetech.

Thunderbolt er et grensesnitt utviklet av Intel og Apple i samarbeid, og brukes på Apples Mac-er for tilkobling til skjermer, disker og andre typer tilleggsutstyr.

Sikkerhetshullet, som har fått navnet Thunderstrike, gjør det mulig å infisere Thunderbolt-enheter og Mac-er med skadelig programvare, og det er ikke mulig å oppdage at du er infisert – og heller ikke mulig å fjerne skadevaren uten spesiell maskinvare, hevder Hudson.

Hudson demonstrerte på sikkerhetskonferansen Chaos Communication Congress i romjulen hvordan man kan bruke en Thunderbolt-enhet til å installere et såkalt «bootkit» på Mac-en. Et bootkit er skadelig programvare som erstatter den programvaren som normalt kjører igang når du starter opp maskinen. Det gjør det mulig for en angriper å for eksempel installere en bakdør før operativsystemet startes, og på den måten i praksis få full kontroll over maskinen din. Angriperen kan for eksempel avlytte alle tastetrykkene dine eller stjele passord.

Slik fungerer Thunderstrike

Thunderstrike utnytter en sårbarhet i tilknytning til Thunderbolt-enhetenes såkalte Option ROM. Dette er et lite minne som brukes til å lagre programvare, og programvaren kjøres gjerne helt i starten når PC-en startes opp – slik at det skal være mulig å for eksempel starte opp fra en ekstern harddisk. Thunderstrike fungerer ved å «injisere» en skadelig programvaresnutt direkte inn i Mac-ens fastvare – EFI (Extensible Firmware Interface). Enkelt forklart er det denne programvaren som sparker igang datamaskinen når du skrur den på.

Trammell Hudson har en utførlig beskrivelse av hvordan sikkerhetshullet fungerer på sin blogg

Krever tilgang til maskinen

For at en Mac skal kunne infiseres, kreves det at noen har fysisk tilgang til maskinen – og kan plugge inn en Thunderbolt-enhet med skadevaren. Så må vedkommende starte opp Mac-en i «recovery boot»-modus.

Når maskinen først er infisert, er det ingen vei tilbake, ettersom Thunderstrike erstatter den digitale signaturen Apple bruker for å sikre at kun autorisert fastvare kjører på Mac-en. Siden Thunderstrike er uavhengig av operativsystemet på PC-en, og ikke ligger lagret på disken, vil du ikke bli kvitt skadevaren selv om du formaterer disken og legger inn operativsystemet på nytt. 

Kobler du til andre Thunderbolt-enheter til en infisert maskin, vil i teorien skadevaren kunne infisere disse enhetene også.

Ifølge Hudson er Apple igang med å tette sikkerhetshullet, slik at programvare i Option ROM ikke vil lastes under oppdatering av fastvaren i maskinen. Men Hudson advarer om at Option ROM-en fortsatt laster under vanlig oppstart, og datamaskiner med Thunderbolt fortsatt kan være i faresonen.

Også USB-enhetene dine kan være smekkfulle av skadevare:
BadUSB er et av tidenes største sikkerhetshull »

(Kilder: Extremetech, ArsTechnica, Trammell Hudsons blogg)

Norges beste mobilabonnement

Juni 2017

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Ice Mobil 1 GB


Jeg bruker middels mye data:

Telio Go 5 GB


Jeg bruker mye data:

Komplett Maxiflex 12 GB


Jeg er superbruker:

Komplett Megaflex 30 GB


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen