Angriff auf Apples EFI ROM wird beim Hackerkongress 31C3 gezeigt

Apple, os x, Yosemite Bildquelle: Apple
Zum demnächst startenden 31C3, dem Jahresendkongress des Chaos Computer Clubs, hat der Programmierer Trammell Hudson einen interessanten Vortrag angekündigt: Er wird mit Hilfe eines alten Fehlers des Thunderbolt-Ports zeigen, wie einfach Apples MacBooks per Bootkit komplett übernommen werden können.
Sein Proof of Concept zeigt die Installation einer eigenen EFI-Boot-ROM auf MacBooks mit Thunderbolt-Anschluss. Hudson nutzt dazu ein speziell präpariertes Thunderbolt-Device. Er braucht damit also direkten Zugriff auf die Hardware oder im Vorfeld auf die Thunderbolt-Geräte. Dann ist sein Einfallstor weit offen: er verwendet eine seit 2012 bekannte Sicherheitslücke der Thunderbolt Option ROM. Bislang gibt es keine Lösung für das Sicherheitsproblem, erklärt Hudson. Sobald das Thunderbolt-Gerät angeschlossen ist, installiert es eine eigene Boot-ROM und ersetzt die ursprüngliche EFI-Firmware. Apple EFI Firmeware Update

Änderungen sind dauerhaft

Ist die Software erst einmal installiert, kann sie selbstständig das System daran hindern, Sicherheitsupdates von Apple anzunehmen. Laut Hudson können weder die Neuinstallation des OS X noch eine neu eingebaute Festplatte dem Hack die Stirn bieten - die Änderung ist dauerhaft. Sein Bootkit hat kompletten Zugriff und kann damit rein theoretisch zum Beispiel die Festplatte löschen oder andere Aktionen ausführen.

Da es weder Hardware- noch Software-Checkups während des Bootvorgangs gibt, die die Gültigkeit der Firmware überprüfen, kann das Bootkit sobald es installiert ist die komplette Kontrolle übernehmen, schreibt Hudson. Zudem kann sich die neue Boot-Rom so maskieren, dass sie in einem späteren Check nicht mehr auffällt.

Trammell Hudson will beim 31C3 gleich mehrere "Anwendungsfälle" präsentieren. Er schreibt zum einen seinen eigenen Code in die EFI-Boot-Rom von OS X, zum anderen lässt er die neue ROM sich selbstständig reproduzieren, um sie über neu angeschlossene Thunderbolt-Geräte weiterzuverbreiten.

Da Hudson erst einmal den physischen Zugriff auf die Apple-Geräte benötigt, mag sein Angriff erst einmal vermeintlich harmlos klingen. Ein Angriff auf einer solchen niedrigen Ebene ist aber sehr gefährlich - andere Proof of Concepts beispielsweise mit infizierten USB-Geräten haben das unlängst bewiesen. Man sollte sich daher also sehr genau überlegen, ob man zum Beispiel Display-Adapter und ähnliches zunächst unproblematisch aussehendes Zubehör mit anderen Leuten teilt - es könnte ein Einfallstor für das Bootkit sein.

Trammell Hudson wird seine Ergebnisse am 29. Dezember beim 31C3 präsentieren. Sein Vortrag ist für 18.30 Uhr angesetzt. Apple, os x, Yosemite Apple, os x, Yosemite Apple
Mehr zum Thema: Apple
Diese Nachricht empfehlen
Kommentieren31
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr Kaspersky Internet Security 2017 5 Geräte - [Online Code]
Kaspersky Internet Security 2017 5 Geräte - [Online Code]
Original Amazon-Preis
58,99
Im Preisvergleich ab
40,00
Blitzangebot-Preis
44,99
Ersparnis zu Amazon 24% oder 14

Apples Aktienkurs in Euro

Apple Aktienkurs -1 Jahr
Zeitraum: 1 Jahr

iPad im Preisvergleich

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Tipp einsenden