Eind december zal een onderzoeker laten zien hoe het mogelijk is om op een Apple Macbook een bootkit te installeren die het opnieuw installeren van het besturingssysteem en het vervangen van de harde schijf kan overleven. De bootkit kan via iemand die fysiek toegang tot de laptop worden geïnstalleerd. Hiervoor wordt de extern toegankelijke Thunderbolt-poort gebruikt. Zodra de bootkit actief is kan die zich viraal verspreiden door andere Thunderbolt-apparaten te infecteren.
Volgens onderzoeker Trammell Hudson is het mogelijk om de controle te omzeilen die Apple gebruikt voor EFI ( Extensible Firmware Interface) firmware-updates. Hierdoor kan een aanvaller met fysieke toegang kwaadaardige code aan de firmware op de ROM van het moederbord toevoegen en zo een nieuwe klasse van firmware-bootkits voor Macbooks creëren. De firmware wordt tijdens het opstarten niet cryptografisch gecontroleerd, waardoor de kwaadaardige code vanaf het begin volledige controle over het systeem heeft.
Hudson ontwikkelde een "proof of concept" bootkit die Apple's publieke RSA-sleutel in de firmware vervangt en pogingen voorkomt om de kwaadaardige code te vervangen. Aangezien de boot-firmware onafhankelijk van het besturingssysteem werkt, blijft de bootkit na een herinstallatie van het besturingssysteem gewoon bestaan. Ook het vervangen van de harde schijf heeft geen effect. Alleen via een programmeerapparaat kan de originele firmware worden hersteld.
De onderzoeker merkt op dat de firmware van andere Thunderbolt-apparaten kan worden aangepast door de bootkit en zich zo verder kan verspreiden. "Hoewel het twee jaar oude Thunderbolt firmware-lek dat deze aanval gebruikt met een firmware-patch is te verhelpen, is het grotere probleem van Apple's EFI-firmware security en secure booting zonder vertrouwde hardware lastiger op te lossen." Hudson zal tijdens zijn presentatie op de CCC Conferentie meer details geven.
Deze posting is gelocked. Reageren is niet meer mogelijk.