Una vulnerabilità zero-day nel firmware dei vecchi Mac potrebbe potenzialmente essere sfruttata per iniettare un malware difficile da rimuovere nel computer. La vulnerabilità è stata individuata da Pedro Vilaca, un esperto di sicurezza che indica i dettagli della falla sul suo blog. Stando a quanto riportato sarebbe possibile manomettere l’UEFI (unified extensible firmware interface), il firmware che consente di integrare nel sistema funzionalità, facendo anche da “ponte” tra l’hardware e il sistema operativo e permettendo l’avvio delle macchine.
L’UEFI è normalmente impenetrabile a utenti e sviluppatori ma Vilaca indica che è possibile ottenere l’accesso al ritorno del computer dallo sleep. Se il computer rimane inattivo per un periodo determinato (in base alle Preferenze di Risparmio Energia) va in stop per ritornare operativo quando, ad esempio, si preme un tasto o si muove il mouse. Sembra che per qualche motivo sui Mac prodotti prima della metà del 2014 sia presente una vulnerabilità che permette di modificare l’UEFI al ritorno dallo sleep.
Vilaca spiega che usando questo sistema si potrebbe creare un rootkit, un malware molto difficile da rimuovere, installando un elemento difficilmente individuabile dai consueti meccanismi di sicurezza. Al momento l’unica difesa possibile è disattivare dalla sezione “Risparmio Energia” delle Preferenze di Sistema lo stop.
Apple ha in passato rilasciato una patch per una vulnerabilità simile denominata Thunderstrike, un meccanismo che potenzialmente poteva consentire la modifica dell’UEFI sfruttando l’interfaccia Thunderbolt. Thunderstrike era stata presentata dal ricercatore Trammell Hudson nel corso del Chaos Communication Congress di dicembre. Vilaca ha testato la vulnerabilità su MacBook Pro Retina, un MacBook Pro 8.2 e un MacBook Air, tutti con le ultime versioni del firmware Apple installate. Le nuove macchine non sembrano vulnerabili: secondo Vilaca Apple ha probabilmente risolto il problema su quelle più recenti, ignorando quelle più vecchie.
Vilaca non ha avvisato Apple come normalmente si fa quando vulnerabilità del genere sono individuate. Molte società incoraggiano la segnalazione responsabile delle vulnerabilità chiedendo ai ricercatori nel campo della sicurezza di comunicare loro in anticipo i dettagli prima che siano resi pubblici. La prassi comune di segnalare le vulnerabilità direttamente al vendor è nell’interesse di tutti: aiuta a garantire che i clienti ricevano aggiornamenti completi e di elevata qualità per risolvere le vulnerabilità di protezione, evitando l’esposizione a potenziali attacchi dannosi durante lo sviluppo dell’aggiornamento.
