作者: 趨勢科技 TrendMicro

距離第一個蘋果 Mac 電腦後門漏洞 Thunderstrike 被揭發的時間不過數月，現在又被發現了另一個漏洞，同樣也是後門漏洞。而兩個之間有何差異呢？此漏洞與 Thunderstrike 不同之處在於，歹徒不需實際接觸到電腦就能得逞。事實上，駭客可以遠在世界的另一端就能攻擊此漏洞。

這個由 OS X 作業系統資安研究人員 Pedro Vilaca所發現的最新漏洞，讓駭客可將惡意程式安裝到 Mac 電腦的 BIOS 中。它是透過作業系統使用者空間 (userland) 當中的一項功能來達成 (使用者空間就是應用程式和驅動程式所執行的空間)。一旦惡意程式進入了 BIOS，每次電腦開機時，惡意程式都能搶在作業系統「之前」預先載入，因此非常難以清除 (即使並非不行)。

這個漏洞如何運作？首先要在Mac 從睡眠中重新啟動時立即攻破 BIOS 保護機制。在正常情況下，BIOS 區域對於使用者空間的應用程式來說是唯讀的，因為 BIOS 受到一個名為 FLOCKDN 的機制所保護。但基於某些理由，當 Mac 從睡眠模式重新啟動時會暫時解除 FLOCKDN 機制，就在這段期間，BIOS 中的韌體對應用程式來說不再是唯讀狀態，因此讓惡意程式有機會將它改寫，這項韌體寫入動作一般稱為重刷 (Reflashing) BIOS，而網路上也有免費的現成應用程式可執行這項動作，例如：Flashrom。如同 Vilaca 在文章中指出，這項手法不需實際接觸目標 Mac 電腦就能做到。他在部落格當中詳細說明了這項漏洞，事實上根據他的說法，只需利用某個含有惡意程式的網站發動順道下載攻擊就能重刷 BIOS。

當然，情況也沒那麼糟，至少要成功感染電腦不是那麼輕而易舉。駭客若要成功，首先必須透過某個漏洞來讓他取得 OS X 系統管理員 (root) 權限，但其實網路上這樣的攻擊很少。此外，駭客還要想辦法讓系統進入睡眠，如此才能取得攻擊機會，不過根據 Vilaca 的看法，這算是整個過程當中較容易的環節，因為攻擊程式可以設計成當偵測到系統要進入睡眠時才啟動，或者強迫系統進入睡眠。

現在我們知道有這樣的漏洞，那到底哪些系統可能受到影響？Vilaca 指出，在 2014 年中期之前出廠的蘋果電腦都可能受到此漏洞影響。此外他還指出，他已在一台 MacBook Pro Retina、一台 MacBook Pro 8.2 以及一台 MacBook Air 上試驗成功，而這些電腦全都使用蘋果提供的 EFI 韌體。至於 2014 年中期之後出廠的電腦則對這項攻擊免疫，Vilaca 並未解釋箇中原因。據他猜測，有可能是蘋果暗自修補了這項漏洞，不然就是意外修正了這項漏洞。

這項漏洞是否有防範之道？答案是「有」也「沒有」。針對這項漏洞，使用者能做的不多，不過使用者還是可以設定系統在閒置時不要進入睡眠。此外，進階使用者也可以下載 Trammell Hudson (Thunderstrike 的作者) 所提供的軟體來將 BIOS 晶片上的內容傾印 (dump，也就是複製) 出來。然後再將傾印出來的內容與蘋果的原始韌體檔案比對一下，就可知道是否遭人植入惡意程式 (因為重刷過之後的 BIOS 一定會和原始韌體不同)。

隨著越來越多諸如此類的蘋果系統漏洞浮上檯面，歹徒遲早會開始將這些漏洞用於不良意圖，因此，Mac 使用者應盡速妥善保護自己的裝置。正如我們一開始所大聲疾呼的，想要藉由資訊不透明來保障系統安全，再也行不通了，尤其在今日的威脅環境下。

◎原文來源: New Vulnerability Leaves Most Apple Machines Vulnerable to Permanent Backdoor Badness

《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知和新增到興趣主題清單,重要通知與好康不漏接