Onderzoeker kraakt efi-chip MacBook via Thunderbolt-port

Het is mogelijk om de efi-chip van verschillende MacBooks te kraken met behulp van een apparaat dat in de Thunderbolt-ingang van een MacBook wordt gestoken. Dat ontdekte een Amerikaanse onderzoeker. Door de kwetsbaarheid kan permanente malware op een MacBook worden geïnstalleerd.

Apple logoOm de efi-chip te kraken, gebruikte onderzoeker Trammell Hudson de update-mechanismen die Apple zelf heeft ingebouwd om de firmware op de chip te updaten. De efi-chip is onderdeel van de uefi-standaard, een veiliger opvolger van het bios.

"Je kunt niet vanuit het besturingssysteem rechtstreeks naar de efi-chip schrijven, want er is geen verbinding tussen de cpu en de efi-chip", aldus Hudson op de CCC-beveiligingsconferentie in Hamburg. "Maar je kunt wel een firmware-update naar de opslag van de chip flashen, die bij het booten wordt geladen."

Daarvoor is dus wel fysieke toegang tot een systeem nodig, maar Hudson heeft een relatief toegankelijke manier gevonden om dit mogelijk te maken. Hij slaagde er in om een apparaatje te maken dat in de Thunderbolt-poort moet worden gestoken en dat bij het laden firmware inlaadt die malafide software tijdens het booten naar de opslag van efi-chip flasht. Daartoe wordt OptionROM gebruikt, een legacy-techniek waarmee tijdens het laden van een systeem firmware kan worden ingeladen. De tool van Apple om firmware-updates te installeren voert de software vervolgens uit. Dat dit in theorie mogelijk is, is volgens Hudson al twee jaar duidelijk.

Volgens Hudson zijn er weinig mechanismen om het wegschrijven van malafide software naar de efi-chip te voorkomen. Er is geen hardwarematige controle van de inhoud van software-updates als die worden uitgevoerd. Wel wordt de signature van de software gecontroleerd, maar Hudson slaagde er in om de cryptografische handtekening van Apple te vervangen door zijn eigen handtekening. Bij het booten wordt geen check van de code uitgevoerd.

Hudson heeft het probleem getest op zes recente MacBooks, maar het beveiligingsprobleem is waarschijnlijk ook aanwezig op andere Apple-systemen met Thunderbolt-poorten, zoals de Mac Mini en de desktop-Mac. Het bedrijf heeft een update uitgebracht die het probleem poogt op te lossen, maar volgens Hudson is die niet afdoende.

Hudson stelt dat het probleem bijvoorbeeld kan worden misbruikt door geheime diensten, die maar kort toegang hoeven te krijgen tot iemands systeem om er malafide software op te installeren. Omdat die software in de efi-chip verblijft, blijft hij ook aanwezig als Mac OS X of een ander besturingssysteem wordt geherinstalleerd. Een aanvaller zou onder meer een backdoor in het besturingssysteem kunnen plaatsen, toetsaanslagen kunnen registreren en encryptiewachtwoorden achterhalen. "En omdat ik de cryptografische handtekening van Apple heb vervangen door mijn eigen handtekening, kan je de software niet vervangen", stelt Hudson.

Door Joost Schellevis

Redacteur

Feedback • 29-12-2014 19:2285

29-12-2014 • 19:22

85 Linkedin

Lees meer

Thunderclap-aanval maakt toegang tot systeemgeheugen via Thunderbolt mogelijk Nieuws van 27 februari 2019
Apple voert wekelijkse efi-controle uit in High Sierra Nieuws van 25 september 2017
Exploit voor ernstig beveiligingslek in Mac OS X verschijnt in het wild Nieuws van 4 augustus 2015
Aanvaller kon jarenlang root-rechten krijgen op OS X Nieuws van 10 april 2015
Kwetsbaarheden in bios maken vrijwel elke computer vatbaar voor malware Nieuws van 23 maart 2015
Adobe dicht ernstige lekken in Flash Player Nieuws van 13 maart 2015
Seagate stopt ondersteuning Universal Data Module Nieuws van 5 februari 2015
Onderzoeker: verborgen kinderpornosites zijn erg populair op Tor - update Nieuws van 30 december 2014
MacBook Air-gebruikers melden systeemcrashes na firmware-update Nieuws van 23 juli 2014
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (85)

-Moderatie-faq
85
79
46
8
1
24
Wijzig sortering
donny007
29 december 2014 22:31
De onderzoeker kon met de aangepaste Firmware ook het FileVault wachtwoord onderscheppen, daarmee is de schijfencryptie ook meteen nutteloos geworden.

Op de website van de onderzoeker is meer informatie te vinden over deze kwetsbaarheid: https://trmm.net/EFI

[Reactie gewijzigd door donny007 op 29 december 2014 22:32]

johnkeates
@donny00730 december 2014 00:28
Die aanval kan je ook via FireWire doen. Bestaat ook software voor (genaamd Inception) om dit soort zaken te automatiseren. Je hebt ook payloads om bijvoorbeeld in het geheugen van de computer op zoek te gaan naar wachtwoorden, keys van andere soorten software en je kan ook data injecteren zodat je bijvoorbeeld in het ingeladen stuk code voor wachtwoordcontrole altijd het wachtwoord accepteert ongeacht wat er in gevoerd wordt. Dat is wat konboot deed, maar het kan dus ook zonder preloader via elke DMA-capable bus.
assembler
29 december 2014 19:30
Zijn er al methoden bekend om hardware, die op deze verregaande manier is besmet, weer te ontdoen van malware e.d.?

Edit: De enige manier die waarschijnlijk 100% zou werken is het low level programmeren met een SPI-achtige interface. M.a.w. het direct aansturen/overschijven van het chipgeheugen met een debug-interface die hardwarematig toegang tot het geheugen biedt.

[Reactie gewijzigd door assembler op 29 december 2014 21:41]

Armin
@assembler29 december 2014 20:07
Op dezelfde manier als de hacker dat doet lijkt me: het herflashen met een goede (of weer een andere) handtekening.

UPDATE: Dat kan dus niet. Het artikel is een beetje onduidelijk over de exacte methode, maar het doet dus het volgende:

1) Normale EFI flash kan niet want die vereist Apple's certificaat. Dus gebruikt men een kwetsbaarheid in "Option ROM" om te flashen. Via die method eis er geen controle op certificaten.
2) De kwaadaardige software vervolgens "fixt' die kwetsbaarheid zodat niemand vai die deur daarna nog binnen kan komen.
3) Als bonus verwijdert het ook het officiele Apple certifciaat zodat ook een gewone Apple flash niet meer werkt.

Mogelijk dat via een JTAG of zo men echter nog wel de zaak kan herstellen, maar dat vereist dus - indien mogelijk - het openmaken van je laptop en de additionele flash-apparatuur. Niet iets wat zelfs tweakers doorgaans kunnen.

[Reactie gewijzigd door Armin op 30 december 2014 00:43]

Mizgala28
@assembler29 december 2014 19:35
Een nieuwe Macbook kopen, dat is de simpelste en meest effectieve.

Ik had ooit een PC moeten herinstalleren met een virus die op het mbr stond, herinstallatie helpt dus niet, enige oplossing was een nieuwe hdd inbouwen en herinstalleren.
COW_Koetje
@Mizgala2829 december 2014 20:19
je mbr wissen is met enige linux kennis of google vaardigheden erg simpel.
Gewoon booten met knopix en dd gebruiken om je hd te overschrijven inclusief de mbr

Er zijn meer dan genoeg guides te vinden die dit dummy proof uitleggen.
En altijd nog goedkoper dan nieuwe hd.

Wel grappig dat wederom een mogelijkheid om Mac spullen te infecteren door veel mensen wederom wordt gebagatelliseerd. Het komt mij vaak over dat zodra iemand een negatief security nieuwtje meld die op Apple producten slaat iedereen meteen in de discriminatie stand springt en gaat roepen dat dit Apple bashing is.

Elke systeem kent problemen met beveiliging en hoewel Microsoft een reputatie heeft betekent dat niet dat Linux en OSX deze niet zouden hebben. Alleen bij Windows gebruikers is het meestal een houding van schouderophalen en patches installeren terwijl bij Apple gebruikers deze meteen het als een aanval beschouwen.

(de meeste linux gebruikers die ik ken gaan eerst hun eigen systeem hacken om te zien hoe het werkt voordat ze het patchen :) Waaronder ik dus ook val)
MacIsCool
@COW_Koetje30 december 2014 10:00
Ach bagateliseren... Ik ben een mac gebruiker en mij valt het op dat het gehele (u)efi systeem te hacken is met dezelfde kwetsbaarheid en er is geen reactie, als de mac ook kwetsbaar blijkt reageert Jan en alleman... Je moet Fysiek iets in de TB poort stoppen en Fysieke toegang is meestal het begin van een security risico :-) en is dus ook te voorkomen door vreemden niet aan je spullen te laten zitten ..
Anoniem: 122843
@MacIsCool30 december 2014 14:45
Ik heb meteen al mijn wachtwoorden enzo uitgezet. Gewoon vreemden niet aan je spullen laten zitten is natuurlijk de oplossing! Ik neem mijn laptop dan ook niet meer mee op reis.
laptopleon
@Anoniem: 12284331 december 2014 23:39
Je kan wel cynisch doen maar als een kwaadwillende bij je computer kan, houd alles op qua beveiliging.

Of heb jij een laptop van 10 cm dik plaatstaal die compleet dichtgelast is?
Anoniem: 122843
@laptopleon4 januari 2015 19:51
Nooit van harde schijf versleuteling gehoord? Waarom zou je security ophouden bij toegang tot het fysieke product? Er is zat software te verkrijgen om de externe interfaces te beveiligen.

Het wordt natuurlijk lastig als de computer al op BIOS niveau gehacked kan worden, dan wordt beveiliging wel erg lastig. Dat maakt dit soort hacks (net als de onbeveiligde DMA toegang bij Firewire poorten op veel computers) nou net zo problematisch.

Merk op dat ik veel met beveiliging met smart cards doe; die fysieke beveiliging is helemaal niet aanwezig bij smart cards.
laptopleon
@Anoniem: 1228435 januari 2015 23:42
Je onderschat fysieke toegang. Om bij je voorbeeld te blijven: De harde schijf versleutelen heeft weinig zin als ze bij je computer kunnen, omdat er bijvoorbeeld 'hardwarematige' keyloggers bestaan die in een USB-stekker ingebouwd kunnen worden, of in je toetsenbord. Daar gaat je wachtwoord. Er bestaan andere varianten met minuscule zendertjes die data afluisteren en uitzenden, zodat er op afstand kan worden meegekeken.

Meer op het niveau van het artikel zou je kunnen denken aan een proces dat al bij het opstarten in de achtergrond mee begint te keyloggen, nog voor je OS opgestart is.

Simpelste route is natuurlijk gewoon een cameraatje ophangen om achter het wachtwoord te komen, dat zal wss ook geen probleem zijn als men al bij je machine kan.

Als er dan ook nog een kopie van je versleutelde HD wordt gemaakt (men kan immers bij je computer) kan men al je data rustig elders analyseren, zonder dat je het zelfs maar door hebt gehad.

Serieus, ik zou beginnen met de fysieke toegang als ik de beveiliging van een machine zou moeten optimaliseren. Daarom hebben grotere bedrijven en scholen etc ook zo vaak problemen met hun digitale beveiliging.
Cartman!
@MacIsCool30 december 2014 16:43
Zoals iemand al eerder zei: stuur 1000 mensen een device in een mooie envelop met daarbij dat ze die krijgen als trouwe Apple-gebruiker en ik gok dat de meesten dit zonder vragen in hun Mac stoppen om te kijken wat t is. De meeste infecties gebeuren volgens mij toch echt omdat iemand zelf onvoorzichtig is en niet omdat een ander het je direct aandoet.
sfranken
@COW_Koetje30 december 2014 01:20
"sudo dd if=/dev/sda of=/dev/null bs=4096" is voldoende voor een MBR nuke geloof iik, wel je if aanpassen naar de correcte disk.
COW_Koetje
@sfranken30 december 2014 09:38
if is je input device dus wat je nu doet is je /dev/sda schrijven naar /dev/null met blokken van 4096.
In de praktijk zal er dus op je harddisk niets veranderen.

(sudo) dd if=/dev/null of=/dev/sd(x) bs=4096 count=10

Dit zou de eerste 10 blokken van 4kb van je harddisk te wissen wat in theorie voldoende moet zijn om je mbr te wissen.
Maar je kan het ook zonder count doen dan is je hele disk netjes clean
Zeker als je al virussen had is het niet onverstandig om alles ff om te ploegen.
sfranken
@COW_Koetje1 januari 2015 02:45
Oops, je hebt gelijk. Dat is het nadeel van reageren om half twee...
number3
@COW_Koetje29 december 2014 20:22
Het grote voordeel van Apple hacks is dat er simpelweg lekker homogeen is. Zowel software ala hardware is bij iedereen hetzelfde. En een PCIe bus naar buiten via een stekkertje, heerlijk.
strompf
@COW_Koetje29 december 2014 21:52
Ik hoor ook in de laatste categorie. Toen ik dit bericht zag, was m'n eerste gedachte dat ik bij de volgende aanschaf van een computer toch 's moet kijken of er geen open-source BIOS/EFI/UEFI bestaat.
wankel
@strompf30 december 2014 10:05
Kijk dan eens naar coreboot. Een minimale initialisatie van je systeem, met minimale overhead en minimale kans op injecties van het een of ander.
Anoniem: 547741
@Mizgala2829 december 2014 19:55
Je kunt de MBR toch gewoon opnieuw aanmaken?
Anoniem: 126513
@Mizgala2829 december 2014 20:17
Diskpart in windows. Of nie?
TonnyTonny
@Mizgala2829 december 2014 23:19
Sorry, maar als je dat niet kunt fixen, ben je de naam Tweaker niet waard.
Een verse, schone MBR op een disk zetten is zo makkelijk en kan op 1001 manieren worden gedaan.
En als een her-install geen bezwaar is kun je nog altijd DBAN op de disk loslaten. Is de MBR ook gewist.
GamesBond
@TonnyTonny30 december 2014 10:33
Tsja, ik heb hier nog een setje HDD's liggen die aan een 3Ware controller hebben gehangen. Darik's Boot and Nuke weigert ze te herkennen, als ik ze aan een linux machine hang zijn ze gewoon te benaderen maar een Windows systeem weigert ze te herkennen ook na een paar keer erasen met 'dd'. Zelfs de WD diagnostics tools van Ultimate Boot CD wilde de disks niet herkenne. Heb ik ook opgegeven, mijn tijd is kostbaarder dan die paar HDD's maar irritant is het wel.
TonnyTonny
@GamesBond8 januari 2015 21:37
Da's vreemd...
Hebben die HDD's toevallig een jumper voor de blocksize (512 of 4096 bytes) ?
In dat geval wil het wel eens lukken met de jumper in de andere stand.
bigbadbull
@TonnyTonny30 december 2014 11:15
Sorry, maar als je dat niet kunt fixen, ben je de naam Tweaker niet waard.
Misschien is dat net de reden waarom ze hier zitten en vragen stellen. Het zijn aspitant tweakers.
Je moet het op een of andere manier leren, kennis komt helaas niet vanzelf.
Ja ik weet het het is lastig alles 1000den keren moeten uitleggen maar ik baal er zelf ook van als ik op een probleem google de eerste 3 antwoorden zijn "wat doe je hier google het toch gewoon man"

on topic, vind het verbazend dat Apple geen controle op hun firmware updates gestoken heeft, dan zou zo ondertussen wel al een basis praktijk moeten zijn.
Vizzie
@assembler29 december 2014 20:02
Als er op deze manier via de thuderbolt port geflashed kan worden door kwaadwillenden kan Apple dit neem ik aan ook wel met schone software?
number3
@Vizzie29 december 2014 20:11
Nope. Een malware kan de deur achter zich dichttrekken door de optionroms inlezen uit te zetten. Zie daar de perfecte aanval. Het OS jan de roms ook niet checken omdat de Rom kan zie wanneer hij bevraagd wordt. Gevolg je kan de 'juiste' reactie geven.
poor Leno
@number329 december 2014 20:26
Nou lekker dan :/

Kun je dit checken? Ik vraag me af of er een manier is om dit te zien.. Anders wordt de tweedehands markt compleet "overspoeld" met besmette macjes..
Adamar
@assembler29 december 2014 19:37
Waarschijnlijk de hele chip eerst wissen en dan opnieuw beschrijven met de juiste code?
anessie
@assembler29 december 2014 19:38
http://www.apparata.nl/ni...t-muizen-vernietigen-2155
lasharor
29 december 2014 19:28
Tja, met dat laatste loop je dan toch al snel tegen de lamp? Als keer op keer updates niet lukken omdat de handtekening niet meer klopt zal de gebruiker wel support op gaan zoeken...
Whatts
@lasharor29 december 2014 19:34
Het gaat hier over updates voor UEFI, niet voor het OS.
ppl
@Whatts29 december 2014 19:48
Apple gebruikt geen UEFI maar de voorloper: EFI. Daarbij hebben ze alleen de basisfunctionaliteit en dus niet bijv. de additionele interface zoals we die bij de gemiddelde UEFI implementatie bij pc's wel zien. Deze UEFI is echter op dezelfde manier te kraken waarbij het in eerste instantie nog maar de vraag was of dit ook voor Apple's EFI implementatie opging. Het vermoeden was van wel en daar is nu dus ook daadwerkelijk bewijs voor. Zie ook het nieuwsbericht van gisteren hierover: nieuws: Beveiligingsonderzoekers vinden nieuwe kwetsbaarheid in uefi
Obbut
@Whatts29 december 2014 19:39
Updates voor de UEFI worden binnen OS X op dezelfde manier geïnstalleerd als OS-updates: in de App Store bij tabblad 'Updates'.

[Reactie gewijzigd door Obbut op 29 december 2014 19:39]

Whatts
@Obbut29 december 2014 19:44
Dat wist ik niet, dan zal het inderdaad wel opvallen wanneer er een UEFI-update blijft mislukken.
number3
@Whatts29 december 2014 20:15
Meeste gebruikers negeren vrolijk dergelijke foutmeldingen van update problemen.
Mizgala28
@Whatts29 december 2014 19:36
"En omdat ik de cryptografische handtekening van Apple heb vervangen door mijn eigen handtekening, kan je de software niet vervangen", stelt Hudson
Hier doelt lasharor op, op een bepaald punt klopt de handtekening niet en wil je OSX systeem niet updaten, de kans ik groot dat je dat opmerkt en naar Apple gaat voor support en die dan met een conclusie komt dat je malware hebt.
Aionicus
@Mizgala2829 december 2014 19:50
Om het even recht te zetten , aangezien de eerste 3 posts het bericht niet goed hebben doorgelezen.

Het gaat hier om de firmware naar de EFI chip , waarna er elke keer als het systeem word opgestart en de malware niet zou draaien op het besturingssysteem de malware geinstalleerd zou worden.

Wat men bedoelt met updates en software is het volgende :

A) bij een herinstallatie word alsnog de malware ingeladen , dus schone installaties hebben geen zin meer.
B) Wat men bedoeld met de software is het volgende :

-> De malware update safari tijdens het booten met een eigen cryptokey . Hierdoor zul je nooit meer je safari kunnen updaten en apple kan het niet aanraken door hun eigen limitaties.

Ook na herinstallatie gebeurd gewoon hetzelfde dus technisch gezien zou je het hier apple heel moeilijk mee kunnen maken . Ja natuurlijk is fysieke toegang een must maar ja er zijn zoveel manieren om toegang te krijgen (fysiek) tot iemand zijn computer.

Ik vermoed dat als je 90% van de nederlandse mac gebruikers een malwareboxje stuurt vermomd als een usb stick (ala thunderbolt) met dat ze deze gratis mogen proberen omdat ze trouwe mac fans zijn dat ze hem allemaal zo in hun thunderbolt zouden proppen. Heel makkelijk word het zo.

(stel je maar is voor wat voor gevolgen zoiets kan hebben als men je default terminal of standaard al je email clients infecteert. Dan ben je echt goed de sjaak.

(zit je dan met een overpriced artikel van 2500 euro, had je toch beter die acer kunnen halen van 3 tientjes bij de aldi ^^)
CharlesND
@Aionicus29 december 2014 20:55
Dit is nu zo'n typische kwetsbaarheid die voor geheime diensten en uberhackers erg interessant is maar waar wij als 'gewone' Mac gebruikers weinig last van zullen hebben. Voor criminele toepassingen geeft Alionicus al precies het probleem aan: je moet de Mac-gebruikers een malwareboxje toesturen.

Je moet als crimineel dus eerst flink veel geld investeren in het uitwerken van de hack zelf, investeren in het maken van die malwareboxjes, investeren in een distributiesysteem en verzending van die boxjes, investeren in een project om met die malware dan ook nog geld te verdienen.

En ik schat dat het ongeveer 5 minuten duurt voordat iemand de malware in die boxjes ontdekt en 30 seconden later is het breaking nieuws: "MAC GEKRAAKT MET MALWARE", met hoofdletters all over het internet. Weg alle investeringen en mooie plannen crimineel..

Het lukt geheime diensten ook om virussen in nucleaire installatie in Iran te krijgen, dus als het echt moet zullen ze ook met deze efi-crack wel iets verrassends kunnen bedenken. Maar de kans dat 'gewone gebruikers' er last van krijgen omdat criminelen deze onveiligheid nu massaal gaan gebruiken lijkt mij gezien de minimale opbrengst en maximale kosten bijzonder klein.
sfranken
@CharlesND30 december 2014 01:16
En ik schat dat het ongeveer 5 minuten duurt voordat iemand de malware in die boxjes ontdekt en 30 seconden later is het breaking nieuws: "MAC GEKRAAKT MET MALWARE", met hoofdletters all over het internet. Weg alle investeringen en mooie plannen crimineel..
Waarschijnlijk niet, omdat een user dit niet doorheeft. Het zit nl. in een deel van het OS waar je als end-user niks te zoeken hebt (en ook niets mee kan). Alleen als je machine het echt begeeft en jij naar Apple gaat merk je het.
CharlesND
@sfranken30 december 2014 11:25
Er is ook geen end-user' nodig om de malware te ontdekken. Het probleem voor een criminele inzet is tweeledig: allereerst moet hij iets bedenken om op grootschalige manier een stukje hardware aan de computers van de gebruikers te hangen. En er zijn altijd mensen die alleen al uit nieuwsgierigheid gaan kijken wat er nu precies in die hardware zit om er zelf iets leuks mee te doen. Met een heel klein aantal lukt het je waarschijnlijk wel om een tijd onontdekt te blijven, maar als je het 'commercieel' gaat aanpakken en duizenden computers wilt besmetten loop het echt binnen de kortste keren tegen zo'n enthousiaste tweaker aan.

En het tweede probleem is dat virussen of malware voor Mac's nog steeds kopregelnieuws is. Dat is een van de redenen dat er zo weinig malware voor wordt ontwikkeld. Het kan technisch wel, maar de tijd dat je er crimineel van kan profiteren is doorgaans klein omdat het na ontdekking als een lopend vuurtje rondgaat. Criminelen willen geld verdienen en gaan niet veel geld investeren in malware waarvan het bestaan direct na ontdekking 'wereldnieuws' en dus waardeloos is.
rob12424
@Aionicus29 december 2014 20:01
Ja maar dit is toch oud nieuws? De bluepill deed toch hetzelfde alleen dan door i de extensie voor de hypervisor van je Bios te gaan zitten?
number3
@rob1242429 december 2014 20:14
Blue pil viel niet een Apple EFI boot aan. Maar een Windows boot proces. Plus dat blue pil geen bootrom aanval was, maar een software boot aanval.
Vizzie
@Aionicus29 december 2014 20:00
Mwa, die acer van 3 tientjes zal ook zo z'n gebreken hebben qua veiligheid (zoals alle computers) en zo'n actie met het rondsturen van sticks valt veel te veel op. Je infecteert misschien een boel maar het wordt waarschijnlijk ook snel opgemerkt en opgelost. Ik denk dat het meer iets is wat je zou kunnen gebruiken om een onbewaakte laptop snel te infecteren, niet iets wat massaal ingezet kan worden.
snrwo1
@Aionicus30 december 2014 10:40
De hele problematiek met virussen en zo is gestoeld op het principe dat fysieke toegang niet nodig is. Daar dat hier wel het geval is, blijft deze methode beperkt tot hele speciale doelgroepen, en hoeft de gemiddelde Apple consument zich nergens zorgen om te maken.
Anoniem: 612965
@Aionicus29 december 2014 20:05
Je informatie is van goede kwaliteit en het was prettig om een kleine samenvatting te krijgen van het artikel. Echter maak je jezelf weer minder geloofwaardig door te zeggen dat Apple computers overpriced zijn. Tenminste zo komt het bij mij over.

Ik wil je uitleggen waarom ik denk dat de MBP niet overpriced is. Ik heb het specifiek over de MBP retina. Het bezit een hoge resolutie scherm, 256GB SSD(700MB/s), 8GB RAM, accu dat 10 uur meegaat en het belangrijkste nog, het bezit geen ULV CPU zoals vele laptops tegenwoordig, maar een 'volwaardige' mobile cpu. En alles verpakt in een stevige, niet al te zware behuizing voor prijs van €1500.

Ik weet dat dit off-topic is, mijn excuses daarvoor.

[Reactie gewijzigd door Anoniem: 612965 op 30 december 2014 12:41]

Anoniem: 612965
@jorgenstefan30 december 2014 12:42
Mijn fout. Het moet 700 MB/s zijn. Ik heb het in mijn reactie veranderd.
MClaeys
@lasharor29 december 2014 19:35
Dan ga je er al vanuit dat het een gebruiker is die zijn updates ook daadwerkelijk doet. En dan hangt het nog af van welke foutmelding hij krijgt, ik krijg wel vaker een systeem binnen waar een oude update om een of andere reden niet wil lukken en op mislukt blijft staan maar de gebruikers liggen daar alles behalve wakker van.
Misschien valt in de valse firmware ook te spoofen dat de update gelukt is, zodat het nog minder opvalt.

Toch straf, zo op hardwareniveau malware kunnen plaatsen. Het bestaat al langer natuurlijk, maar ik dacht dat er tegenwoordig iets meer checks op gebeurden om zulke zaken te voorkomen.
ppl
@MClaeys29 december 2014 19:42
OS X staat tegenwoordig standaard ingesteld om te updaten zoals dit ook bij Windows het geval is. Je moet als gebruiker dit zelf uit zetten. Deze instelling zorgde er voor dat onlangs nog een security update voor NTP vrijwel overal automatisch geïnstalleerd werd. Op moment dat je steeds lastiggevallen wordt door foutmeldingen dan is dat zo irritant dat je wel opzoek gaat naar hulp. Het enige grote probleem hier is dat dit nog wel even duurt aangezien Apple niet zo vaak een firmware update naar buiten brengt.
laptopleon
@MClaeys31 december 2014 23:30
(Straf, dat een Mac te hacken is als je er gewoon bij kan met je vingers?)

Je bent niet bekend met OS X. Er zijn af en toe updates, dat staat standaard aan en ze worden in de achtergrond al gedownload en klaargezet. Je hoeft alleen maar op OK te klikken en ze mislukken niet zomaar. Ik heb het sinds de introductie van OS X (beta) in 2000 in ieder geval nog nooit meegemaakt. Tenzij iemand compleet nieuw is met OS X zal dit opvallen. Het is (no offence) geen OS waar bij elke keer dat je opstart zeven popups en acht alerts weggeklikt moeten worden, dus dat zou wel degelijk opvallen.
MClaeys
@laptopleon2 januari 2015 07:58
Ik zeg nergens dat het straf is dat een Mac te hacken is als je er bij kan, maar dat het straf is dat malware op hardwareniveau kan geplaatst worden (zonder te verwijzen naar Mac want dit kan bij andere hardware ook...

Bij Windows staan ze ook standaard aan, maar daar heb je nog een verschil tussen verplichte en optionele. De optionele installeren (uiteraard) niet standaard en firmwares durven daar wel eens onder te vallen (zodat enkel zij met problemen het installeren bvb).
Overigens hier ook 0 popups op Windows, het is maar hoe je je systeem gebruikt en instelt. Op mijn Mac mini had ik met enige regelmaat een falende update (wat achteraf een hardware-issue bleek), heb ik nooit wakker van gelegen. Net zoals velen er niet wakker van zouden liggen.
smiba
@lasharor29 december 2014 19:36
In dat geval verander je de handtekening toch niet? Gewoon laten, hij checkt hem toch niet bij het installeren van de malafide software
zvbhvb
29 december 2014 20:52
Via USB mischien ook wel..Reden te meer om aan te nemen dat fysieke toegang vaak gelijk aan game over is.

Hacking a Mac in 20 seconds or less:
https://www.youtube.com/watch?v=-ve_H-Ua6pQ
http://patrickmosca.com/
johnkeates
@zvbhvb30 december 2014 00:26
Deze aanval is een beetje te vergelijken met een FireWire DMA attack, die uiteindelijk ook goed op te lossen was.

De oplossing voor dat geval was het uitschakelen van de poort tot dat een gebruiker ingelogd is in het OS, en de poort weer uitzetten zodra iemand uitlogt, in stand-by gaat of afsluit (of herstart). Daarna kan je dus de rest van je device detectie in je OS gebruiken om stoute apparaten te weren. Verder is het natuurlijk ook mogelijk om in EFI gewoon OptionROMs niet via Thunderbolt apparaten te laden. Heeft als nadeel dat als je PCIe naar Thunderbolt adapters gebruikt die apparaten hun OpROMs ook niet meer geladen worden.

In de praktijk is deze aanval niet echt een Thunderbolt-, of Mac- aanval, maar eerder een PCI aanval. Thunderbolt is eigenlijk gewoon PCIe in een draadje, en eigenlijk kunnen alle PCI en PCIe devices sinds ze bestaan al gewoon OpROMs in het systeem laden. Deze hebben alle rechten die er maar te krijgen zijn op een systeem en kunnen dus doen en laten wat ze willen. Dat het in dit geval op een Mac getest is zegt niet dat het nergens anders werkt of dat het een Mac-specifiek probleem is.
PPie
@johnkeates30 december 2014 10:51
Verder is het natuurlijk ook mogelijk om in EFI gewoon OptionROMs niet via Thunderbolt apparaten te laden. Heeft als nadeel dat als je PCIe naar Thunderbolt adapters gebruikt die apparaten hun OpROMs ook niet meer geladen worden.
Of beter, wat ook gesuggereerd wordt door het probleem: Kijken of de OptionROM een correcte cryptografische handtekening heeft.
johnkeates
@PPie30 december 2014 15:22
OptionROMs hebben over het algemeen nooit een handtekening. De ROMs in bijvoorbeeld RAID controllers, netwerkkaarten, videokaarten enz. zijn tot zo ver nagenoeg nooit ondertekend.
PPie
@johnkeates30 december 2014 16:18
Klinkt dus als een optie om dit in te voeren.
Een andere optie die zou kunnen is de EFI een checksum te laten berekenen (en op te laten slaan) en deze nieuwe hardware te laten goedkeuren door de gebruiker door middel van het invoeren van het beheerderswachtwoord van de machine. (Zoals systeem updates ook geïnstalleerd worden). Niet 100% waterdicht, maar iemand kan dan niet ongemerkt even een rootkit installeren.
OMX2000
29 december 2014 19:39
"En omdat ik de cryptografische handtekening van Apple heb vervangen door mijn eigen handtekening, kan je de software niet vervangen"

Wacht, dus je zou niet weer dezelfde exploit kunnen gebruiken om het terug te draaien? Zo niet, zie daar de fix ;)
donny007
@OMX200029 december 2014 19:42
De aanvaller kan eventueel de exploit patchen.
number3
@donny00729 december 2014 20:08
Klopt exploit is patchbaar. Gewoon geen optionroms meer inlezen.
Armin
@number330 december 2014 00:33
Volgens mij kan men dan nog altijd direct flashen via JTAG of zo. Of niet?
darknessblade
@OMX200029 december 2014 19:45
de aanvaller kan de *firmware* versie als definitief stellen waardoor deze manier van updaten niet meer mogelijk is, ook nog omdat de handtekening is veranders moet er een master key worden gebruikt om het te verwijderen, aangezien deze in de handen van aanvallers is is dit bijna niet mogelijk.
number3
@darknessblade29 december 2014 20:09
Nonsense. De Keys worden helemaal niet gecontroleerd. Ga de video kijken zou ik zeggen. Relive zal het al wel hebben.
Armin
@number330 december 2014 00:46
Zoals ik begrepen heb, worden ze niet gecontroleert via de OptionROM methode, maar wel via de normale flash. Het gebruikt dus de eerste methode.

Omdat de malware daarna de eerste methode vervolgens uitzet wordt de OptionROM methode daarna uitgeschakeld voor iedereen. Aanvullend wordt het officiele Apple certifciaat verniettigd via overschrijving waardoor ook gewone flash niet meer kan door Apple zelf.

Tenminste zo heb ik het na twee keer lezen begrepen, maar ik laat me graag corrigeren. De onderzoekers hadden iets duidelijker kunnen zijn op dit gebied.
Sfynx
29 december 2014 19:44
Werkt dit ook als je een firmware password hebt ingesteld? (dan hoor je voor alles behalve het booten van de standaard systeempartitie dat wachtwoord nodig te hebben...)

edit: Linkje: https://trmm.net/EFI

Password helpt niet en de proof of concept fixt meteen het gat zodat je het niet meer opnieuw kan gebruiken om het te verwijderen... dit is wel heel erg :D

[Reactie gewijzigd door Sfynx op 29 december 2014 20:03]

number3
@Sfynx29 december 2014 20:06
Firmware wachtwoord wordt genegeerd volgens spreker.
GewoonYunus
29 december 2014 19:45
Dan is er gelukkig toch nog een voordeel om geen thunderbolt-poort te hebben op je macbook...
page404
@GewoonYunus29 december 2014 20:04
hurray, het was even zoeken maar je hebt er één gevonden! ;)
GewoonYunus
@page40429 december 2014 20:30
Yaaay!

O wacht, dat is mini displayport...
Sfynx
29 december 2014 21:09
Het bedrijf heeft een update uitgebracht die het probleem poogt op te lossen, maar volgens Hudson is die niet afdoende.
Apple heeft een update uitgebracht? Nou, ik zit me rot te zoeken hoor.
number3
@Sfynx29 december 2014 22:04
Moet nog uitkomen.
MacKevin11
30 december 2014 01:16
En als je een wachtwoord op je firmware hebt zitten, is dit dan ook te kraken via deze manier?
Uiteraard is het mogelijk een firmware update te doen, maar ik bedoel deze vraag meer als in: Ik verlies mijn MacBook, een dief stopt er een apparaatje in en kan mijn firmware wachtwoord kraken. Ja of nee?
dmvdberg
30 december 2014 07:57
Positief dat de status van 'veiliger dan windows' nog altijd in twijfel getrokken wordt.
Zeker als mac gebruiker ben ik blij dat Apple zo nu en dan een trap onder z'n luie aarsch krijgt en weer hard moet gaan nadenken over veiligheid =)

Vraag me btw af wat voor gevolgen dit heeft voor Hackingtosh builds...

[Reactie gewijzigd door dmvdberg op 30 december 2014 07:58]

1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee