距離第一個蘋果 Mac 電腦後門漏洞 Thunderstrike 被揭發的時間不過數月,現在又被發現了另一個漏洞,同樣也是後門漏洞。而兩個之間有何差異呢?此漏洞與 Thunderstrike 不同之處在於,歹徒不需實際接觸到電腦就能得逞。事實上,駭客可以遠在世界的另一端就能攻擊此漏洞。
這個由 OS X 作業系統資安研究人員 Pedro Vilaca所發現的最新漏洞,讓駭客可將惡意程式安裝到 Mac 電腦的 BIOS 中。它是透過作業系統使用者空間 (userland) 當中的一項功能來達成 (使用者空間就是應用程式和驅動程式所執行的空間)。一旦惡意程式進入了 BIOS,每次電腦開機時,惡意程式都能搶在作業系統「之前」預先載入,因此非常難以清除 (即使並非不行)。
這個漏洞如何運作?首先要在Mac 從睡眠中重新啟動時立即攻破 BIOS 保護機制。在正常情況下,BIOS 區域對於使用者空間的應用程式來說是唯讀的,因為 BIOS 受到一個名為 FLOCKDN 的機制所保護。但基於某些理由,當 Mac 從睡眠模式重新啟動時會暫時解除 FLOCKDN 機制,就在這段期間,BIOS 中的韌體對應用程式來說不再是唯讀狀態,因此讓惡意程式有機會將它改寫,這項韌體寫入動作一般稱為重刷 (Reflashing) BIOS,而網路上也有免費的現成應用程式可執行這項動作,例如:Flashrom。如同 Vilaca 在文章中指出,這項手法不需實際接觸目標 Mac 電腦就能做到。他在部落格當中詳細說明了這項漏洞,事實上根據他的說法,只需利用某個含有惡意程式的網站發動順道下載攻擊就能重刷 BIOS。
當然,情況也沒那麼糟,至少要成功感染電腦不是那麼輕而易舉。駭客若要成功,首先必須透過某個漏洞來讓他取得 OS X 系統管理員 (root) 權限,但其實網路上這樣的攻擊很少。此外,駭客還要想辦法讓系統進入睡眠,如此才能取得攻擊機會,不過根據 Vilaca 的看法,這算是整個過程當中較容易的環節,因為攻擊程式可以設計成當偵測到系統要進入睡眠時才啟動,或者強迫系統進入睡眠。
現在我們知道有這樣的漏洞,那到底哪些系統可能受到影響?Vilaca 指出,在 2014 年中期之前出廠的蘋果電腦都可能受到此漏洞影響。此外他還指出,他已在一台 MacBook Pro Retina、一台 MacBook Pro 8.2 以及一台 MacBook Air 上試驗成功,而這些電腦全都使用蘋果提供的 EFI 韌體。至於 2014 年中期之後出廠的電腦則對這項攻擊免疫,Vilaca 並未解釋箇中原因。據他猜測,有可能是蘋果暗自修補了這項漏洞,不然就是意外修正了這項漏洞。
這項漏洞是否有防範之道?答案是「有」也「沒有」。針對這項漏洞,使用者能做的不多,不過使用者還是可以設定系統在閒置時不要進入睡眠。此外,進階使用者也可以下載 Trammell Hudson (Thunderstrike 的作者) 所提供的軟體來將 BIOS 晶片上的內容傾印 (dump,也就是複製) 出來。然後再將傾印出來的內容與蘋果的原始韌體檔案比對一下,就可知道是否遭人植入惡意程式 (因為重刷過之後的 BIOS 一定會和原始韌體不同)。
隨著越來越多諸如此類的蘋果系統漏洞浮上檯面,歹徒遲早會開始將這些漏洞用於不良意圖,因此,Mac 使用者應盡速妥善保護自己的裝置。正如我們一開始所大聲疾呼的,想要藉由資訊不透明來保障系統安全,再也行不通了,尤其在今日的威脅環境下。
◎原文來源: New Vulnerability Leaves Most Apple Machines Vulnerable to Permanent Backdoor Badness
《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知和新增到興趣主題清單,重要通知與好康不漏接