Onderzoekers van beveiligingsbedrijf Duo Security hebben een onderzoek uitgevoerd naar updates van efi-firmware op 73.324 Mac-systemen. Daaruit bleek dat iets meer dan 4 procent van de onderzochte systemen updates miste, waardoor beveiligingsrisico's ontstaan.
Het bedrijf publiceerde vrijdag de uitkomsten van het onderzoek. De auteurs schrijven dat de verzamelde gegevens suggereren dat een van de oorzaken van het verschijnsel kan zijn dat sysadmins niet de juiste procedures voor updates hanteren. Een andere mogelijkheid is dat er iets mis gaat aan de kant van Apple waardoor de updates niet geïnstalleerd worden, maar daarvoor hebben ze geen bewijzen gevonden. Het percentage van 4,2 procent is een gemiddelde en er zijn verschillende uitschieters.
Zo bleek dat een 21,5"-iMac van het einde van 2012 in 43 procent van de gevallen de verkeerde efi-firmware draaide. Bij drie varianten van een 13"-MacBook Pro uit 2016 varieerde dat percentage van 25 procent tot 35 procent. Een andere uitkomst van het onderzoek was dat systemen met macOS Sierra in 10 procent van de gevallen niet de verwachte firmware hadden, terwijl dat percentage met El Capitan en Yosemite lager lag met respectievelijk 3,4 en 2,1 procent.
De te ontvangen firmware-updates zijn volgens de onderzoekers afhankelijk van het Mac-model en de aanwezige versie van het besturingssysteem. Daardoor kan het voorkomen dat een systeem wel alle nodige beveiligingsupdates van het OS heeft, maar alsnog een onveilige versie van het efi draait. Zo zouden er 16 combinaties zijn van hardware en besturingssystemen die nooit een firmware-update hebben ontvangen tussen versie 10.10 en 10.12 van het OS. Ook wijzen de onderzoekers erop dat een update soms een oudere versie bevatte, wat zou wijzen op een probleem met QA.
Een kwetsbaar efi brengt risico's met zich mee, omdat het veel privileges bezit, aldus de onderzoekers. Daardoor kan een succesvolle aanval beveiligingsmaatregelen op hogere niveaus in het systeem ongedaan maken. Daarnaast zouden aanvallen vaak moeilijk te detecteren zijn en nadat infectie heeft plaatsgevonden zou het moeilijk zijn om deze weer te verwijderen. In het rapport verwijzen ze naar verschillende efi-aanvallen, zoals de Thunderstrike-varianten waarbij Apple-systemen geïnfecteerd konden worden door kwaadaardige Thunderbolt-adapters. Ook de CIA-methode Sonic Screwdriver wordt genoemd.
De onderzoekers zeggen dat ze Apple onder de loep hebben genomen, omdat het gebruikmaakt van een gesloten ecosysteem, waarbij het bedrijf zelf controle heeft over de hardware en software. Daardoor zou de analyse eenvoudiger zijn. Ze vermoeden dat de situatie op Wintel-systemen mogelijk erger is en willen dat in de toekomst onderzoeken. Onlangs bleek dat Apple vanaf High Sierra een wekelijkse check van de efi-firmware uitvoert. Volgens de auteurs waarschuwt de tool in kwestie echter niet bij verouderde versies.
De beveiligingsonderzoekers zeggen dat hun bevindingen geen reden tot grote zorgen moeten zijn voor gewone gebruikers, omdat aanvallen op het efi vaak complex en gericht zijn. Het is dus afhankelijk van het threat model van de gebruiker hoe ernstig de bevindingen zijn. Ze hebben een tool uitgebracht waarmee gebruikers kunnen onderzoeken of hun efi-firmware-versie de juiste is en of deze kwetsbaar is. Die is op het moment van schrijven echter nog niet beschikbaar.