Malware kan inficere firmware på Mac-computere

Forskere har udviklet en firmware-orm, der inficerer Mac-computere og som smitter ved at inficere udstyr, der kobles til. Ormen kan ikke opdages af traditionelle sikkerhedsprogrammer

Mac

I disse dage løber sikkerhedskonferencen Black Hat af staben i Las Vegas, og her fremviser de to sikkerhedseksperter og forskere, Xeno Kovah og Corey Kallenberg fra Legbacore, en koncept-malware frem, for at demonstrere at Mac-computere ikke er mindre sårbare over for angreb rettet mod computeres firmware.

Udover at inficere firmwaren på en Mac, så viser de to sikkerhedsfolk også, hvor let det at smitte andre computere, selvom Mac’en ikke er tilsluttet nettet.

Ifølge Wired.com sker smitten ved at ormen skriver sig selv til en såkaldt Options Rom på den tilsluttede hardware, og så snart den bliver koblet til en Mac, der endnu ikke er inficeret, så vil ormen automatisk skrive sig selv ned i firmwaren på den usmittede Mac.

Mac og pc lige sårbare

Grunden til at Mac er ligeså sårbar som en Windows-baseret pc er, at de begge i langt de fleste tilfælde bygger på samme type hardware og dermed også samme firmware. De to forskere har så undersøgt en lang række computere fra blandt andet Dell, Lenovo, Samsung og HP,og fundet en række sårbarheder, der inficerede over 80% af de undersøgte computere.

De undersøgte så om de samme sårbarheder kunne ramme Apples computere, og fem ud af seks sårbarheder påvirkede også Mac-computere.

Naturligvis har de to forskere givet besked til producenterne og blandt andet Apple er i fuld gang med at patche firmwaren for at lukke hullerne. Men i skrivende stund er tre ud af de fem sårbarheder stadig en direkte vej ind til Mac’ens firmware.

God til isolerede computere

Firmware-angreb hører til blandt de meget seriøse angreb, fordi det er den slags angreb ingen forventer eller beskytter sig imod. Almindelige sikkerhedsprogrammer scanner computerens hukommelse og programmer, men kommer slet ikke i nærheden af firmwaren, og da firmwaren er det, der starter operativsystemet, så bliver den altid startet op først.

På den måde kan den endda beskytte sig mod scan, der går direkte mod firmware, og selv en opdatering af firmwaren er ingen hjælp. Malware, der er placeret i firmware på en computer, kan uden problemer inficere opdateringen og være fuldt ud lige så aktiv efter en opdatering som før.

Den kan heller ikke fjernes ved en total geninstallering af operativsystem – eneste to muligheder, ifølge Xeno Kovah og Corey Kallenberg, er at flashe firmware med en frisk firmware, eller smide computeren ud og købe en ny.

Netop fordi denne type malware ikke er afhængig af en netforbindelse for at smitte, men kan smitte gennem tilkoblede enheder såsom Thunderbolt-enheder, er den oplagt at bruge til at smitte computere, der står i for eksempel kraftværk.

Disse computere bliver ofte brugt i forbindelse med eksterne diske, og er en sådan inficeret på flash-niveau, er det ifølge de to forskere ingen sag at smitte videre til alle computere, pc og Macs, den bliver forbundet til.

De patches, der bliver lavet i øjeblikket, er kun halve løsninger, fortæller Xeno Kovah og Corey Kallenberg. Det er nemlig stadig let at få adgang til firmware, så længe hardwareproducenterne ikke udstyrer dem med en krypteret signatur eller en metode til ved opstart at tjekke om firmware er ændret.

Men disse modtræk skal vi næppe forvente at komme til at se, for det vil betyde, at arkitekturen skal skrives markant om, og det vil være en kostbar affære.

Du kan finde den fulde artikel her.

About Lars Bennetzen 4194 Articles
Lars Bennetzen har været it- og gadget-journalist siden 1992, og arbejdet som redaktør på PC World, Ingeniøren, Jern- og Maskinindustrien, Procesteknik og Ugens Erhverv. I 2006 blev Lars Chefredaktør på Alt om DATA, og bestyrede det gode gamle it-blad gennem de næste 6 år. I 2012 blev Lars selvstændig og stiftede firmaet Blackbelt Communications og i 2015 startede han Tech-Test. Lars fungerer også som kommunikationskonsulent, taler, moderator og gadgetekspert.
Kommentar til artiklen?