Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 85 reacties

Het is mogelijk om de efi-chip van verschillende MacBooks te kraken met behulp van een apparaat dat in de Thunderbolt-ingang van een MacBook wordt gestoken. Dat ontdekte een Amerikaanse onderzoeker. Door de kwetsbaarheid kan permanente malware op een MacBook worden geļnstalleerd.

Apple logoOm de efi-chip te kraken, gebruikte onderzoeker Trammell Hudson de update-mechanismen die Apple zelf heeft ingebouwd om de firmware op de chip te updaten. De efi-chip is onderdeel van de uefi-standaard, een veiliger opvolger van het bios.

"Je kunt niet vanuit het besturingssysteem rechtstreeks naar de efi-chip schrijven, want er is geen verbinding tussen de cpu en de efi-chip", aldus Hudson op de CCC-beveiligingsconferentie in Hamburg. "Maar je kunt wel een firmware-update naar de opslag van de chip flashen, die bij het booten wordt geladen."

Daarvoor is dus wel fysieke toegang tot een systeem nodig, maar Hudson heeft een relatief toegankelijke manier gevonden om dit mogelijk te maken. Hij slaagde er in om een apparaatje te maken dat in de Thunderbolt-poort moet worden gestoken en dat bij het laden firmware inlaadt die malafide software tijdens het booten naar de opslag van efi-chip flasht. Daartoe wordt OptionROM gebruikt, een legacy-techniek waarmee tijdens het laden van een systeem firmware kan worden ingeladen. De tool van Apple om firmware-updates te installeren voert de software vervolgens uit. Dat dit in theorie mogelijk is, is volgens Hudson al twee jaar duidelijk.

Volgens Hudson zijn er weinig mechanismen om het wegschrijven van malafide software naar de efi-chip te voorkomen. Er is geen hardwarematige controle van de inhoud van software-updates als die worden uitgevoerd. Wel wordt de signature van de software gecontroleerd, maar Hudson slaagde er in om de cryptografische handtekening van Apple te vervangen door zijn eigen handtekening. Bij het booten wordt geen check van de code uitgevoerd.

Hudson heeft het probleem getest op zes recente MacBooks, maar het beveiligingsprobleem is waarschijnlijk ook aanwezig op andere Apple-systemen met Thunderbolt-poorten, zoals de Mac Mini en de desktop-Mac. Het bedrijf heeft een update uitgebracht die het probleem poogt op te lossen, maar volgens Hudson is die niet afdoende.

Hudson stelt dat het probleem bijvoorbeeld kan worden misbruikt door geheime diensten, die maar kort toegang hoeven te krijgen tot iemands systeem om er malafide software op te installeren. Omdat die software in de efi-chip verblijft, blijft hij ook aanwezig als Mac OS X of een ander besturingssysteem wordt geherinstalleerd. Een aanvaller zou onder meer een backdoor in het besturingssysteem kunnen plaatsen, toetsaanslagen kunnen registreren en encryptiewachtwoorden achterhalen. "En omdat ik de cryptografische handtekening van Apple heb vervangen door mijn eigen handtekening, kan je de software niet vervangen", stelt Hudson.

Moderatie-faq Wijzig weergave

Reacties (85)

De onderzoeker kon met de aangepaste Firmware ook het FileVault wachtwoord onderscheppen, daarmee is de schijfencryptie ook meteen nutteloos geworden.

Op de website van de onderzoeker is meer informatie te vinden over deze kwetsbaarheid: https://trmm.net/EFI

[Reactie gewijzigd door donny007 op 29 december 2014 22:32]

Die aanval kan je ook via FireWire doen. Bestaat ook software voor (genaamd Inception) om dit soort zaken te automatiseren. Je hebt ook payloads om bijvoorbeeld in het geheugen van de computer op zoek te gaan naar wachtwoorden, keys van andere soorten software en je kan ook data injecteren zodat je bijvoorbeeld in het ingeladen stuk code voor wachtwoordcontrole altijd het wachtwoord accepteert ongeacht wat er in gevoerd wordt. Dat is wat konboot deed, maar het kan dus ook zonder preloader via elke DMA-capable bus.
Zijn er al methoden bekend om hardware, die op deze verregaande manier is besmet, weer te ontdoen van malware e.d.?

Edit: De enige manier die waarschijnlijk 100% zou werken is het low level programmeren met een SPI-achtige interface. M.a.w. het direct aansturen/overschijven van het chipgeheugen met een debug-interface die hardwarematig toegang tot het geheugen biedt.

[Reactie gewijzigd door assembler op 29 december 2014 21:41]

Op dezelfde manier als de hacker dat doet lijkt me: het herflashen met een goede (of weer een andere) handtekening.

UPDATE: Dat kan dus niet. Het artikel is een beetje onduidelijk over de exacte methode, maar het doet dus het volgende:

1) Normale EFI flash kan niet want die vereist Apple's certificaat. Dus gebruikt men een kwetsbaarheid in "Option ROM" om te flashen. Via die method eis er geen controle op certificaten.
2) De kwaadaardige software vervolgens "fixt' die kwetsbaarheid zodat niemand vai die deur daarna nog binnen kan komen.
3) Als bonus verwijdert het ook het officiele Apple certifciaat zodat ook een gewone Apple flash niet meer werkt.

Mogelijk dat via een JTAG of zo men echter nog wel de zaak kan herstellen, maar dat vereist dus - indien mogelijk - het openmaken van je laptop en de additionele flash-apparatuur. Niet iets wat zelfs tweakers doorgaans kunnen.

[Reactie gewijzigd door Armin op 30 december 2014 00:43]

Een nieuwe Macbook kopen, dat is de simpelste en meest effectieve.

Ik had ooit een PC moeten herinstalleren met een virus die op het mbr stond, herinstallatie helpt dus niet, enige oplossing was een nieuwe hdd inbouwen en herinstalleren.
je mbr wissen is met enige linux kennis of google vaardigheden erg simpel.
Gewoon booten met knopix en dd gebruiken om je hd te overschrijven inclusief de mbr

Er zijn meer dan genoeg guides te vinden die dit dummy proof uitleggen.
En altijd nog goedkoper dan nieuwe hd.

Wel grappig dat wederom een mogelijkheid om Mac spullen te infecteren door veel mensen wederom wordt gebagatelliseerd. Het komt mij vaak over dat zodra iemand een negatief security nieuwtje meld die op Apple producten slaat iedereen meteen in de discriminatie stand springt en gaat roepen dat dit Apple bashing is.

Elke systeem kent problemen met beveiliging en hoewel Microsoft een reputatie heeft betekent dat niet dat Linux en OSX deze niet zouden hebben. Alleen bij Windows gebruikers is het meestal een houding van schouderophalen en patches installeren terwijl bij Apple gebruikers deze meteen het als een aanval beschouwen.

(de meeste linux gebruikers die ik ken gaan eerst hun eigen systeem hacken om te zien hoe het werkt voordat ze het patchen :) Waaronder ik dus ook val)
Ach bagateliseren... Ik ben een mac gebruiker en mij valt het op dat het gehele (u)efi systeem te hacken is met dezelfde kwetsbaarheid en er is geen reactie, als de mac ook kwetsbaar blijkt reageert Jan en alleman... Je moet Fysiek iets in de TB poort stoppen en Fysieke toegang is meestal het begin van een security risico :-) en is dus ook te voorkomen door vreemden niet aan je spullen te laten zitten ..
Ik heb meteen al mijn wachtwoorden enzo uitgezet. Gewoon vreemden niet aan je spullen laten zitten is natuurlijk de oplossing! Ik neem mijn laptop dan ook niet meer mee op reis.
Je kan wel cynisch doen maar als een kwaadwillende bij je computer kan, houd alles op qua beveiliging.

Of heb jij een laptop van 10 cm dik plaatstaal die compleet dichtgelast is?
Nooit van harde schijf versleuteling gehoord? Waarom zou je security ophouden bij toegang tot het fysieke product? Er is zat software te verkrijgen om de externe interfaces te beveiligen.

Het wordt natuurlijk lastig als de computer al op BIOS niveau gehacked kan worden, dan wordt beveiliging wel erg lastig. Dat maakt dit soort hacks (net als de onbeveiligde DMA toegang bij Firewire poorten op veel computers) nou net zo problematisch.

Merk op dat ik veel met beveiliging met smart cards doe; die fysieke beveiliging is helemaal niet aanwezig bij smart cards.
Je onderschat fysieke toegang. Om bij je voorbeeld te blijven: De harde schijf versleutelen heeft weinig zin als ze bij je computer kunnen, omdat er bijvoorbeeld 'hardwarematige' keyloggers bestaan die in een USB-stekker ingebouwd kunnen worden, of in je toetsenbord. Daar gaat je wachtwoord. Er bestaan andere varianten met minuscule zendertjes die data afluisteren en uitzenden, zodat er op afstand kan worden meegekeken.

Meer op het niveau van het artikel zou je kunnen denken aan een proces dat al bij het opstarten in de achtergrond mee begint te keyloggen, nog voor je OS opgestart is.

Simpelste route is natuurlijk gewoon een cameraatje ophangen om achter het wachtwoord te komen, dat zal wss ook geen probleem zijn als men al bij je machine kan.

Als er dan ook nog een kopie van je versleutelde HD wordt gemaakt (men kan immers bij je computer) kan men al je data rustig elders analyseren, zonder dat je het zelfs maar door hebt gehad.

Serieus, ik zou beginnen met de fysieke toegang als ik de beveiliging van een machine zou moeten optimaliseren. Daarom hebben grotere bedrijven en scholen etc ook zo vaak problemen met hun digitale beveiliging.
Zoals iemand al eerder zei: stuur 1000 mensen een device in een mooie envelop met daarbij dat ze die krijgen als trouwe Apple-gebruiker en ik gok dat de meesten dit zonder vragen in hun Mac stoppen om te kijken wat t is. De meeste infecties gebeuren volgens mij toch echt omdat iemand zelf onvoorzichtig is en niet omdat een ander het je direct aandoet.
"sudo dd if=/dev/sda of=/dev/null bs=4096" is voldoende voor een MBR nuke geloof iik, wel je if aanpassen naar de correcte disk.
if is je input device dus wat je nu doet is je /dev/sda schrijven naar /dev/null met blokken van 4096.
In de praktijk zal er dus op je harddisk niets veranderen.

(sudo) dd if=/dev/null of=/dev/sd(x) bs=4096 count=10

Dit zou de eerste 10 blokken van 4kb van je harddisk te wissen wat in theorie voldoende moet zijn om je mbr te wissen.
Maar je kan het ook zonder count doen dan is je hele disk netjes clean
Zeker als je al virussen had is het niet onverstandig om alles ff om te ploegen.
Oops, je hebt gelijk. Dat is het nadeel van reageren om half twee...
Het grote voordeel van Apple hacks is dat er simpelweg lekker homogeen is. Zowel software ala hardware is bij iedereen hetzelfde. En een PCIe bus naar buiten via een stekkertje, heerlijk.
Ik hoor ook in de laatste categorie. Toen ik dit bericht zag, was m'n eerste gedachte dat ik bij de volgende aanschaf van een computer toch 's moet kijken of er geen open-source BIOS/EFI/UEFI bestaat.
Kijk dan eens naar coreboot. Een minimale initialisatie van je systeem, met minimale overhead en minimale kans op injecties van het een of ander.
Je kunt de MBR toch gewoon opnieuw aanmaken?
Diskpart in windows. Of nie?
Sorry, maar als je dat niet kunt fixen, ben je de naam Tweaker niet waard.
Een verse, schone MBR op een disk zetten is zo makkelijk en kan op 1001 manieren worden gedaan.
En als een her-install geen bezwaar is kun je nog altijd DBAN op de disk loslaten. Is de MBR ook gewist.
Tsja, ik heb hier nog een setje HDD's liggen die aan een 3Ware controller hebben gehangen. Darik's Boot and Nuke weigert ze te herkennen, als ik ze aan een linux machine hang zijn ze gewoon te benaderen maar een Windows systeem weigert ze te herkennen ook na een paar keer erasen met 'dd'. Zelfs de WD diagnostics tools van Ultimate Boot CD wilde de disks niet herkenne. Heb ik ook opgegeven, mijn tijd is kostbaarder dan die paar HDD's maar irritant is het wel.
Da's vreemd...
Hebben die HDD's toevallig een jumper voor de blocksize (512 of 4096 bytes) ?
In dat geval wil het wel eens lukken met de jumper in de andere stand.
Sorry, maar als je dat niet kunt fixen, ben je de naam Tweaker niet waard.
Misschien is dat net de reden waarom ze hier zitten en vragen stellen. Het zijn aspitant tweakers.
Je moet het op een of andere manier leren, kennis komt helaas niet vanzelf.
Ja ik weet het het is lastig alles 1000den keren moeten uitleggen maar ik baal er zelf ook van als ik op een probleem google de eerste 3 antwoorden zijn "wat doe je hier google het toch gewoon man"

on topic, vind het verbazend dat Apple geen controle op hun firmware updates gestoken heeft, dan zou zo ondertussen wel al een basis praktijk moeten zijn.
Als er op deze manier via de thuderbolt port geflashed kan worden door kwaadwillenden kan Apple dit neem ik aan ook wel met schone software?
Nope. Een malware kan de deur achter zich dichttrekken door de optionroms inlezen uit te zetten. Zie daar de perfecte aanval. Het OS jan de roms ook niet checken omdat de Rom kan zie wanneer hij bevraagd wordt. Gevolg je kan de 'juiste' reactie geven.
Nou lekker dan :/

Kun je dit checken? Ik vraag me af of er een manier is om dit te zien.. Anders wordt de tweedehands markt compleet "overspoeld" met besmette macjes..
Waarschijnlijk de hele chip eerst wissen en dan opnieuw beschrijven met de juiste code?
Tja, met dat laatste loop je dan toch al snel tegen de lamp? Als keer op keer updates niet lukken omdat de handtekening niet meer klopt zal de gebruiker wel support op gaan zoeken...
Het gaat hier over updates voor UEFI, niet voor het OS.
Apple gebruikt geen UEFI maar de voorloper: EFI. Daarbij hebben ze alleen de basisfunctionaliteit en dus niet bijv. de additionele interface zoals we die bij de gemiddelde UEFI implementatie bij pc's wel zien. Deze UEFI is echter op dezelfde manier te kraken waarbij het in eerste instantie nog maar de vraag was of dit ook voor Apple's EFI implementatie opging. Het vermoeden was van wel en daar is nu dus ook daadwerkelijk bewijs voor. Zie ook het nieuwsbericht van gisteren hierover: nieuws: Beveiligingsonderzoekers vinden nieuwe kwetsbaarheid in uefi
Updates voor de UEFI worden binnen OS X op dezelfde manier geļnstalleerd als OS-updates: in de App Store bij tabblad 'Updates'.

[Reactie gewijzigd door Obbut op 29 december 2014 19:39]

Dat wist ik niet, dan zal het inderdaad wel opvallen wanneer er een UEFI-update blijft mislukken.
Meeste gebruikers negeren vrolijk dergelijke foutmeldingen van update problemen.
"En omdat ik de cryptografische handtekening van Apple heb vervangen door mijn eigen handtekening, kan je de software niet vervangen", stelt Hudson
Hier doelt lasharor op, op een bepaald punt klopt de handtekening niet en wil je OSX systeem niet updaten, de kans ik groot dat je dat opmerkt en naar Apple gaat voor support en die dan met een conclusie komt dat je malware hebt.
Om het even recht te zetten , aangezien de eerste 3 posts het bericht niet goed hebben doorgelezen.

Het gaat hier om de firmware naar de EFI chip , waarna er elke keer als het systeem word opgestart en de malware niet zou draaien op het besturingssysteem de malware geinstalleerd zou worden.

Wat men bedoelt met updates en software is het volgende :

A) bij een herinstallatie word alsnog de malware ingeladen , dus schone installaties hebben geen zin meer.
B) Wat men bedoeld met de software is het volgende :

-> De malware update safari tijdens het booten met een eigen cryptokey . Hierdoor zul je nooit meer je safari kunnen updaten en apple kan het niet aanraken door hun eigen limitaties.

Ook na herinstallatie gebeurd gewoon hetzelfde dus technisch gezien zou je het hier apple heel moeilijk mee kunnen maken . Ja natuurlijk is fysieke toegang een must maar ja er zijn zoveel manieren om toegang te krijgen (fysiek) tot iemand zijn computer.

Ik vermoed dat als je 90% van de nederlandse mac gebruikers een malwareboxje stuurt vermomd als een usb stick (ala thunderbolt) met dat ze deze gratis mogen proberen omdat ze trouwe mac fans zijn dat ze hem allemaal zo in hun thunderbolt zouden proppen. Heel makkelijk word het zo.

(stel je maar is voor wat voor gevolgen zoiets kan hebben als men je default terminal of standaard al je email clients infecteert. Dan ben je echt goed de sjaak.

(zit je dan met een overpriced artikel van 2500 euro, had je toch beter die acer kunnen halen van 3 tientjes bij de aldi ^^)
Dit is nu zo'n typische kwetsbaarheid die voor geheime diensten en uberhackers erg interessant is maar waar wij als 'gewone' Mac gebruikers weinig last van zullen hebben. Voor criminele toepassingen geeft Alionicus al precies het probleem aan: je moet de Mac-gebruikers een malwareboxje toesturen.

Je moet als crimineel dus eerst flink veel geld investeren in het uitwerken van de hack zelf, investeren in het maken van die malwareboxjes, investeren in een distributiesysteem en verzending van die boxjes, investeren in een project om met die malware dan ook nog geld te verdienen.

En ik schat dat het ongeveer 5 minuten duurt voordat iemand de malware in die boxjes ontdekt en 30 seconden later is het breaking nieuws: "MAC GEKRAAKT MET MALWARE", met hoofdletters all over het internet. Weg alle investeringen en mooie plannen crimineel..

Het lukt geheime diensten ook om virussen in nucleaire installatie in Iran te krijgen, dus als het echt moet zullen ze ook met deze efi-crack wel iets verrassends kunnen bedenken. Maar de kans dat 'gewone gebruikers' er last van krijgen omdat criminelen deze onveiligheid nu massaal gaan gebruiken lijkt mij gezien de minimale opbrengst en maximale kosten bijzonder klein.
En ik schat dat het ongeveer 5 minuten duurt voordat iemand de malware in die boxjes ontdekt en 30 seconden later is het breaking nieuws: "MAC GEKRAAKT MET MALWARE", met hoofdletters all over het internet. Weg alle investeringen en mooie plannen crimineel..
Waarschijnlijk niet, omdat een user dit niet doorheeft. Het zit nl. in een deel van het OS waar je als end-user niks te zoeken hebt (en ook niets mee kan). Alleen als je machine het echt begeeft en jij naar Apple gaat merk je het.
Er is ook geen end-user' nodig om de malware te ontdekken. Het probleem voor een criminele inzet is tweeledig: allereerst moet hij iets bedenken om op grootschalige manier een stukje hardware aan de computers van de gebruikers te hangen. En er zijn altijd mensen die alleen al uit nieuwsgierigheid gaan kijken wat er nu precies in die hardware zit om er zelf iets leuks mee te doen. Met een heel klein aantal lukt het je waarschijnlijk wel om een tijd onontdekt te blijven, maar als je het 'commercieel' gaat aanpakken en duizenden computers wilt besmetten loop het echt binnen de kortste keren tegen zo'n enthousiaste tweaker aan.

En het tweede probleem is dat virussen of malware voor Mac's nog steeds kopregelnieuws is. Dat is een van de redenen dat er zo weinig malware voor wordt ontwikkeld. Het kan technisch wel, maar de tijd dat je er crimineel van kan profiteren is doorgaans klein omdat het na ontdekking als een lopend vuurtje rondgaat. Criminelen willen geld verdienen en gaan niet veel geld investeren in malware waarvan het bestaan direct na ontdekking 'wereldnieuws' en dus waardeloos is.
Ja maar dit is toch oud nieuws? De bluepill deed toch hetzelfde alleen dan door i de extensie voor de hypervisor van je Bios te gaan zitten?
Blue pil viel niet een Apple EFI boot aan. Maar een Windows boot proces. Plus dat blue pil geen bootrom aanval was, maar een software boot aanval.
Mwa, die acer van 3 tientjes zal ook zo z'n gebreken hebben qua veiligheid (zoals alle computers) en zo'n actie met het rondsturen van sticks valt veel te veel op. Je infecteert misschien een boel maar het wordt waarschijnlijk ook snel opgemerkt en opgelost. Ik denk dat het meer iets is wat je zou kunnen gebruiken om een onbewaakte laptop snel te infecteren, niet iets wat massaal ingezet kan worden.
De hele problematiek met virussen en zo is gestoeld op het principe dat fysieke toegang niet nodig is. Daar dat hier wel het geval is, blijft deze methode beperkt tot hele speciale doelgroepen, en hoeft de gemiddelde Apple consument zich nergens zorgen om te maken.
Je informatie is van goede kwaliteit en het was prettig om een kleine samenvatting te krijgen van het artikel. Echter maak je jezelf weer minder geloofwaardig door te zeggen dat Apple computers overpriced zijn. Tenminste zo komt het bij mij over.

Ik wil je uitleggen waarom ik denk dat de MBP niet overpriced is. Ik heb het specifiek over de MBP retina. Het bezit een hoge resolutie scherm, 256GB SSD(700MB/s), 8GB RAM, accu dat 10 uur meegaat en het belangrijkste nog, het bezit geen ULV CPU zoals vele laptops tegenwoordig, maar een 'volwaardige' mobile cpu. En alles verpakt in een stevige, niet al te zware behuizing voor prijs van ¤1500.

Ik weet dat dit off-topic is, mijn excuses daarvoor.

[Reactie gewijzigd door kingkang op 30 december 2014 12:41]

Mijn fout. Het moet 700 MB/s zijn. Ik heb het in mijn reactie veranderd.
Dan ga je er al vanuit dat het een gebruiker is die zijn updates ook daadwerkelijk doet. En dan hangt het nog af van welke foutmelding hij krijgt, ik krijg wel vaker een systeem binnen waar een oude update om een of andere reden niet wil lukken en op mislukt blijft staan maar de gebruikers liggen daar alles behalve wakker van.
Misschien valt in de valse firmware ook te spoofen dat de update gelukt is, zodat het nog minder opvalt.

Toch straf, zo op hardwareniveau malware kunnen plaatsen. Het bestaat al langer natuurlijk, maar ik dacht dat er tegenwoordig iets meer checks op gebeurden om zulke zaken te voorkomen.
OS X staat tegenwoordig standaard ingesteld om te updaten zoals dit ook bij Windows het geval is. Je moet als gebruiker dit zelf uit zetten. Deze instelling zorgde er voor dat onlangs nog een security update voor NTP vrijwel overal automatisch geļnstalleerd werd. Op moment dat je steeds lastiggevallen wordt door foutmeldingen dan is dat zo irritant dat je wel opzoek gaat naar hulp. Het enige grote probleem hier is dat dit nog wel even duurt aangezien Apple niet zo vaak een firmware update naar buiten brengt.
(Straf, dat een Mac te hacken is als je er gewoon bij kan met je vingers?)

Je bent niet bekend met OS X. Er zijn af en toe updates, dat staat standaard aan en ze worden in de achtergrond al gedownload en klaargezet. Je hoeft alleen maar op OK te klikken en ze mislukken niet zomaar. Ik heb het sinds de introductie van OS X (beta) in 2000 in ieder geval nog nooit meegemaakt. Tenzij iemand compleet nieuw is met OS X zal dit opvallen. Het is (no offence) geen OS waar bij elke keer dat je opstart zeven popups en acht alerts weggeklikt moeten worden, dus dat zou wel degelijk opvallen.
Ik zeg nergens dat het straf is dat een Mac te hacken is als je er bij kan, maar dat het straf is dat malware op hardwareniveau kan geplaatst worden (zonder te verwijzen naar Mac want dit kan bij andere hardware ook...

Bij Windows staan ze ook standaard aan, maar daar heb je nog een verschil tussen verplichte en optionele. De optionele installeren (uiteraard) niet standaard en firmwares durven daar wel eens onder te vallen (zodat enkel zij met problemen het installeren bvb).
Overigens hier ook 0 popups op Windows, het is maar hoe je je systeem gebruikt en instelt. Op mijn Mac mini had ik met enige regelmaat een falende update (wat achteraf een hardware-issue bleek), heb ik nooit wakker van gelegen. Net zoals velen er niet wakker van zouden liggen.
In dat geval verander je de handtekening toch niet? Gewoon laten, hij checkt hem toch niet bij het installeren van de malafide software
Via USB mischien ook wel..Reden te meer om aan te nemen dat fysieke toegang vaak gelijk aan game over is.

Hacking a Mac in 20 seconds or less:
https://www.youtube.com/watch?v=-ve_H-Ua6pQ
http://patrickmosca.com/
Deze aanval is een beetje te vergelijken met een FireWire DMA attack, die uiteindelijk ook goed op te lossen was.

De oplossing voor dat geval was het uitschakelen van de poort tot dat een gebruiker ingelogd is in het OS, en de poort weer uitzetten zodra iemand uitlogt, in stand-by gaat of afsluit (of herstart). Daarna kan je dus de rest van je device detectie in je OS gebruiken om stoute apparaten te weren. Verder is het natuurlijk ook mogelijk om in EFI gewoon OptionROMs niet via Thunderbolt apparaten te laden. Heeft als nadeel dat als je PCIe naar Thunderbolt adapters gebruikt die apparaten hun OpROMs ook niet meer geladen worden.

In de praktijk is deze aanval niet echt een Thunderbolt-, of Mac- aanval, maar eerder een PCI aanval. Thunderbolt is eigenlijk gewoon PCIe in een draadje, en eigenlijk kunnen alle PCI en PCIe devices sinds ze bestaan al gewoon OpROMs in het systeem laden. Deze hebben alle rechten die er maar te krijgen zijn op een systeem en kunnen dus doen en laten wat ze willen. Dat het in dit geval op een Mac getest is zegt niet dat het nergens anders werkt of dat het een Mac-specifiek probleem is.
Verder is het natuurlijk ook mogelijk om in EFI gewoon OptionROMs niet via Thunderbolt apparaten te laden. Heeft als nadeel dat als je PCIe naar Thunderbolt adapters gebruikt die apparaten hun OpROMs ook niet meer geladen worden.
Of beter, wat ook gesuggereerd wordt door het probleem: Kijken of de OptionROM een correcte cryptografische handtekening heeft.
OptionROMs hebben over het algemeen nooit een handtekening. De ROMs in bijvoorbeeld RAID controllers, netwerkkaarten, videokaarten enz. zijn tot zo ver nagenoeg nooit ondertekend.
Klinkt dus als een optie om dit in te voeren.
Een andere optie die zou kunnen is de EFI een checksum te laten berekenen (en op te laten slaan) en deze nieuwe hardware te laten goedkeuren door de gebruiker door middel van het invoeren van het beheerderswachtwoord van de machine. (Zoals systeem updates ook geļnstalleerd worden). Niet 100% waterdicht, maar iemand kan dan niet ongemerkt even een rootkit installeren.
"En omdat ik de cryptografische handtekening van Apple heb vervangen door mijn eigen handtekening, kan je de software niet vervangen"

Wacht, dus je zou niet weer dezelfde exploit kunnen gebruiken om het terug te draaien? Zo niet, zie daar de fix ;)
De aanvaller kan eventueel de exploit patchen.
Klopt exploit is patchbaar. Gewoon geen optionroms meer inlezen.
Volgens mij kan men dan nog altijd direct flashen via JTAG of zo. Of niet?
de aanvaller kan de *firmware* versie als definitief stellen waardoor deze manier van updaten niet meer mogelijk is, ook nog omdat de handtekening is veranders moet er een master key worden gebruikt om het te verwijderen, aangezien deze in de handen van aanvallers is is dit bijna niet mogelijk.
Nonsense. De Keys worden helemaal niet gecontroleerd. Ga de video kijken zou ik zeggen. Relive zal het al wel hebben.
Zoals ik begrepen heb, worden ze niet gecontroleert via de OptionROM methode, maar wel via de normale flash. Het gebruikt dus de eerste methode.

Omdat de malware daarna de eerste methode vervolgens uitzet wordt de OptionROM methode daarna uitgeschakeld voor iedereen. Aanvullend wordt het officiele Apple certifciaat verniettigd via overschrijving waardoor ook gewone flash niet meer kan door Apple zelf.

Tenminste zo heb ik het na twee keer lezen begrepen, maar ik laat me graag corrigeren. De onderzoekers hadden iets duidelijker kunnen zijn op dit gebied.
Werkt dit ook als je een firmware password hebt ingesteld? (dan hoor je voor alles behalve het booten van de standaard systeempartitie dat wachtwoord nodig te hebben...)

edit: Linkje: https://trmm.net/EFI

Password helpt niet en de proof of concept fixt meteen het gat zodat je het niet meer opnieuw kan gebruiken om het te verwijderen... dit is wel heel erg :D

[Reactie gewijzigd door Sfynx op 29 december 2014 20:03]

Firmware wachtwoord wordt genegeerd volgens spreker.
Dan is er gelukkig toch nog een voordeel om geen thunderbolt-poort te hebben op je macbook...
hurray, het was even zoeken maar je hebt er één gevonden! ;)
Yaaay!

O wacht, dat is mini displayport...
Het bedrijf heeft een update uitgebracht die het probleem poogt op te lossen, maar volgens Hudson is die niet afdoende.
Apple heeft een update uitgebracht? Nou, ik zit me rot te zoeken hoor.
Moet nog uitkomen.
En als je een wachtwoord op je firmware hebt zitten, is dit dan ook te kraken via deze manier?
Uiteraard is het mogelijk een firmware update te doen, maar ik bedoel deze vraag meer als in: Ik verlies mijn MacBook, een dief stopt er een apparaatje in en kan mijn firmware wachtwoord kraken. Ja of nee?
Positief dat de status van 'veiliger dan windows' nog altijd in twijfel getrokken wordt.
Zeker als mac gebruiker ben ik blij dat Apple zo nu en dan een trap onder z'n luie aarsch krijgt en weer hard moet gaan nadenken over veiligheid =)

Vraag me btw af wat voor gevolgen dit heeft voor Hackingtosh builds...

[Reactie gewijzigd door dmvdberg op 30 december 2014 07:58]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True