É uma verdade inquestionável que o OSX e os computadores Apple são mais imunes a problema de segurança que os restantes. Para além da escolha selectiva dos componentes pesa ainda a qualidade do próprio sistema operativo.
Uma recente descoberta feita vem agora mostrar que esta verdade universal pode não ser tão correcta! Os computadores Mac têm uma falha grave de segurança que pode deixar as máquinas infectadas para sempre.
O Thunderstrike 2, nome dado a este malware que se sabe agora poder infectar o firmware (EFI) dos Mac, é a prova de conceito que vem mostrar que estes computadores estão vulneráveis a ataques remotos.
A forma de transmissão deixa de requerer uma presença física do atacante e passa a ser feita com recurso a qualquer periférico externo que possa ser ligado a estes computadores.
Já no início do ano tinha sido mostrado que os Mac estão expostos a problemas da EFI, através do que ficou conhecido na altura por Thunderstrike. Na altura a Apple reconheceu o problema mas deu-lhe uma importância pequena, invocando que requeria que os atacantes estivessem de aceder às máquinas, o que diminuía o impacto do ataque.
Mas com o Thunderstrike 2 fica agora provado que os Mac podem ser infectados por qualquer outro dispositivo que tenha presente uma option ROM. É aqui que o malware ficará residente até se pode propagar para um qualquer Mac. É também por aqui que a propagação do malware é feita.
Os criadores do Thunderstrike 2 preparam-se para o apresentar já no próximo dia 6, na Black Hat USA, onde vão revelar a forma como o criaram e o impacto que tem.
Interestingly, when contacted with the details of previously disclosed PC firmware attacks, Apple systematically declared themselves not vulnerable. This talk will provide conclusive evidence that Macs are in fact vulnerable to many of the software-only firmware attacks that also affect PC systems. In addition, to emphasize the consequences of successful exploitation of these attack vectors, we will demonstrate the power of the dark side by showing what Mac firmware malware is capable of.
O problema do Thunderstrike 2 é grande pois ele corre na EFI, ou seja, antes do sistema operativo ser lançado. É ainda um problema pois não existem ainda produtos que façam a detecção deste tipo de problemas nas EFI, correndo assim sem qualquer controlo do utilizador e de forma silenciosa.
Para além disso não existe também forma simples de o remover. Mesmo com a reinstalação do sistema operativo ou a troca de disco o Thunderstrike 2 mantêm-se presente no Mac.
Os criadores do Thunderstrike 2 criaram um vídeo onde mostram a forma simples como este se propaga de máquina em máquina, mesmo com estas desligadas da Internet e sem qualquer acesso do exterior. Basta um periférico infectado para que o Thunderstrike 2 se instale.
Para além dos ataques estarem mais sofisticados e afectarem componentes que até agora não eram usados, a Apple tem também estado a ser alvo de problemas de segurança, cada vez mais comuns.
Depois do Thunderstrike surgiram já outros problemas, também com a EFI, que mostram a vulnerabilidade destes sistemas e a forma simples e rápida como estes podem ser infectados.
Para já, e como é normal, ainda não existe qualquer declaração da Apple sobre o Thunderstrike 2 nem como será resolvido. É no entanto certo que muito em breve a Apple lançará uma actualização de segurança que corrigirá o problema.