近年 Apple 產品大受市場歡迎,同時受盡用戶與黑客的喜愛。日前就有著名 OS X 資安研究人員發現 2014 年中推出的 MacBook 在進入睡眠模式後有漏洞,令黑客可輕易遙距修改 BIOS、植入後門程式;而由於 rootkit 存在於較系統更深層的 BIOS,故此儘管將電腦格式化或重新安裝 OS 亦無法去除被值入的 rootkit。
rootkit 處於 BIOS,被值入後難以移除
發現 MacBook 漏洞的為著名 OS X 資安研究人員 Pedro Vilaca,並於由前人所揭露的攻擊測試中作測試時發現新的零時差漏洞。
Vilaca發現,黑客可藉 MacBook 於休眠 (suspend) 與喚醒 (resume) 之間對開機指令碼 (boot script) 作出修改,令電腦由睡眠模式重新開機時同時破解 BIOS 的快閃記憶體保護並置入 rootkit。
隨後 Vilaca 那針對使用最新 EFI 韌體的 MacBook Pro Retina、MacBook Pro 8.2 與 MacBook Air 進行測試,證實上述機型均受影響。
但由於現時最新款的 MacBook 產品並未接受相關測試,暫時未能夠確認最新型號產品的狀態:所有現階段只能夠確認 2014 年中前出貨的 MacBook 均受此風險影響。
Vilaca 補充指,新漏洞能夠讓黑客透過 Safari 或其他遙距方式於進入休眠的 MacBook 植入 rootkit:另外,由於 BIOS rootkit 存在於較系統更深層的 BIOS,故此儘管將電腦格式化或重新安裝 OS 亦無法去除被值入的 rootkit;令此漏洞較其他之前被揭發的同類型漏洞更危險。
原本 Vilaca 在文章中指出其發現為由 Trammell Hudson 所揭露的 Thunderbolt EFI 介面漏洞與由 Corey Kallenberg 發現的 Dark Jedi 漏洞,並已確認 Apple 知悉上述漏洞的存在。但在文章他就補充指是次的發現似乎為未被揭露的零時差漏洞,但相關漏洞暫時未得到 Apple 方面的證實。
而 Vilaca 亦指一般用戶幾乎都對上述漏洞無能為力;而技術能力較高的用戶就可以下載研究人員推出的工具,但其作用都只僅限於受到相關攻擊時發出警示。
Source:The Hacker News
