新闻链接：http://www.freebuf.com/news/55716.html
新闻时间：2015-01-04
新闻正文：针对苹果电脑的ROM级恶意程序Thunderstrike

近日，安全研究人员发现一种让苹果电脑感染ROM级恶意程序的方法。

老漏洞新利用

这个攻击由编程专家Trammell Hudson在德国汉堡举办的年度混沌计算机大会上展现，他证明这将使重写苹果Mac计算机固件成为可能。

这种攻击被命名为“Thunderstrike”。它实际上利用了一个在ThunderboltOption ROM中有些历史的漏洞，该漏洞在2012年首次被发现但仍未修补。通过受感染的Thunderbolt设备在苹果电脑的boot ROM中分配一段恶意程序，Thunderstrike 将可以感染苹果可扩展固件接口（EFI）。

恶意程序无法删除

根据该研究人员所说，这种攻击非常危险，因为恶意程序实际上是存在于系统独立的ROM中，故还没有方法让用户去检测到这种攻击或者是删除它，即使是完全重装OS X系统也无法删除。

“鉴于boot ROM独立于操作系统，因此重装OSX系统也无法删掉该恶意程序。此外，由于它也不需要存储在磁盘上，所以即使更换硬盘也无法解决。唯一的解决方案是重新刷入安全的固件才可以恢复。”

Hudson还表示他可以用一个新的密钥来替换苹果自己的密钥，这将导致电脑拒绝接受合法的固件升级。

“在系统启动的时候，既没有硬件也没有软件方式的针对固件有效性的密码检测，所以一旦恶意程序被刷进了ROM中，它将从第一条指令开始就控制了整个系统”
除了编写自定义代码到boot ROM中，Hudson的演讲中还指出一个方法，该方法使得bootkit可以自我复制到任何附加的Thunderbolt设备中，使它具有甚至通过网络传播的能力。

视频演示

你可以观看下面由Hudson提供的整个演示，你也可以参考这篇博客去了解更多关于Thunderstrike的信息。

视频正在上传优酷

目前苹果公司已经在最新的Mac mini和5K视网膜显示屏的iMac上修补了部分漏洞。

[参考来源HackerNews，译/JackFree]

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！