Яблочная настольная операционка неплохо противостоит большинству угроз. Однако хакеры продолжают изобретать новые способы. Например, на днях стало известно о том, что разработчик по имени Трэммелл Хадсон нашел способ обойти систему защиты с помощью буткита, который проникает в систему через Thunderbolt.
Этот тип атаки уже получил название – Thunderstrike. Более подробно о нем будет рассказано в рамках конференции Chaos Communication Congress, которая пройдет в Гамбурге в начале следующей недели.
По словам автора, буткит устанавливается с помощью модификации Thunderbolt Option ROM и обходит проверку криптографической подписи в расширяемом интерфейсе прошивки (EFI) во время процедуры обновления. Примечательно, что этой вредоносной программе не страшна ни переустановка операционной системы, ни замена жесткого диска. Фактически ее нельзя удалить стандартными средствами. Кроме заражения одного компьютера буткит может передаваться и на другие «маки». Для этого достаточно подключить к зараженной машине стороннее Thunderbolt-устройство.
Как уже было сказано выше, для установки буткита используется достаточно старая уязвимость — Thunderbolt Option ROM, о которой известно уже более двух лет. Однако до недавнего времени не существовало инструмента, эксплуатирующего этот баг.
для взлома нужно физически подключиться к компу. через весьма редко используемый порт. большинство пользователей вообще не знают о его существовании и назначении.