セキュリティ研究者が、攻撃コードを含むThunderboltデバイスを使ってMacのファームウェアを書き換えるハッキングを実証しました。ハンブルクで開催されたChaos Computer CongressでTrammel Hudson氏がデモを行ったこの概念実証は、Appleの拡張ファームウェアインターフェース(EFI)に感染させるもので、Hudson氏によると、この感染は検出できず、OS Xの再インストールでも削除できないとのことです。
9to5Mac:
ブートROMはオペレーティングシステムから独立しているため、OS Xを再インストールしても削除されません。また、ディスクに保存されているものにも依存しないため、ハードドライブを交換しても影響はありません。標準ファームウェアを復元するには、ハードウェアのシステム内プログラミングデバイスを使用するしかありません。
Appleはすでに最新のMac miniとiMac Retinaディスプレイモデル向けの修正プログラムを用意しており、ハドソン氏によると、他のMacにもまもなく修正プログラムが提供される予定とのことです。しかし、今回の修正プログラムは部分的な保護しか提供していないようです。
一度インストールされたファームウェアは、Appleの公開RSA鍵を置き換えるため削除できません。つまり、攻撃者の秘密鍵で署名されない限り、ファームウェアのアップデートは拒否されます。ハッキングされたファームウェアは、再起動時に、侵入されたMacに接続された他のThunderboltデバイスのオプションROMに自身をコピーすることで複製することもできます。これらのデバイスは引き続き機能するため、改変されたことを知ることは不可能です。
このハッキングはMacへの物理的なアクセスを必要とするため、一般的なMacユーザーにとってはそれほど心配する必要はないだろう。ハドソン氏は、Macファームウェアブートキットが実際に出回っているのを知らないと述べている。しかし、その可能性を完全に断言することはできないと付け加えている。
ハドソン氏のプレゼンテーションスライドはFlickrで公開されています。彼はEFIの脆弱性についてAppleと連絡を取ってきたと述べています。また、彼のスライドには、自身の主張を検証するのに十分な「疑似コード」が含まれているものの、他者が容易に悪用できるようなものではないと述べています。
このプレゼンテーションは、ユーザーの指の写真を使って、Apple の Touch ID などの指紋センサーを騙す方法を示した別のプレゼンテーションに続いて行われた。
