Un’alta percentuale dei firmware dei Mac è insicura. Lo sostiene Duo Security, azienda specializzata in sicurezza informatica, che basa le sue informazioni dopo avere eseguito l’analisi di 73.000 Mac usati a livello domestico e in attività commerciali.
Il “buco” che queste macchine avrebbero, dipende da una vecchia vulnerabilità, nota come Thunderstrike ,un metodo che richiedeva il collegamento di un dispositivo Thunderbolt costruito ad hoc. Apple ha risolto la vulnerabilità Thunderstrike con specifici aggiornamenti per vari Mac ma Duo Security afferma di avere individuato Mac con discrepanze nella versione dell’EFI firmware.
Su 73.324 Mac esaminati, il 4.2% di questi presentava un firmware difforme da quello atteso. Per l’iMac 21.5″ del 2015 sono state registrate il numero maggiore di anomalie, con un firmware difforme su 941 casi in 2190 sistemi esaminati. Per gli utenti con macOS 10.12 Sierra è stata registrata una devianza del 10%; con El Capitan e Yosemite rispettivamente del 3.4% e del 2.1%.
L’ambiente EFI (Extensible Firmware Interface) è interessante dal punto di vista degli attacker per via del livello di privilegi che è in teoria possibile ottenere. Un attacco a livello EFI consente – potenzialmente – di aggirare vari controlli, compresi meccanismi di sicurezza del sistema operativo e di altre applicazioni. È una tipologia di attacco di alto livello, molto sofisticata, che richiede un elevatissimo livello di competenze ed è pertanto improbabile imbattersi in questo tipo di problema. In passato è ad ogni modo emerso che sia la CIA, sia l’NSA hanno provato a compromettere l’EFI firmware del Mac sfruttando come vettore di attacco queste vulnerabilità.
Perché sia stato verificata la presenza di firmware dei Mac insicuro diverso da quello atteso, non è chiaro. Gli autori della ricerca ipotizzano che la differenza potrebbe avere a che fare con problemi nel controllo di qualità (macchine uscite dalla fabbrica con un firmware differente da quello previsto) ma anche per le diverse modalità con le quali è possibile aggiornare i Mac. Quando, ad esempio, si installa il sistema operativo su macchine collegate in Modalità Destinazione (collegando un cavo FireWire o Thunderbolt a un altro Mac), il firmware di quest’ultime non è aggiornato. Stesso problema per le macchine aggiornate clonando su queste interi dischi da altri Mac.
Il problema del potenziale attacco al firmware non riguarda solo i Mac ma anche i PC con WIndows e Linux dove la situazione è descritta “peggiore” e ancora “più pericolosa”. Agli utenti Mac è suggerito di eseguire regolarmente gli update proposti, di scaricare gli aggiornamenti nella versione “combo” (quelli che consentono di aggiornare il sistema a prescindere dalla precedente release installata) e non sfruttare funzionalità che consentono di ripristinare un’immagine-disco su un disco. Il problema potrebbe manifestarsi in maniera più preoccupanti per alcuni Mac di vecchia generazione, quelli del 2009 e precedenti, che non hanno ricevuto aggiornamenti firmware.
Dire che in generale il firmware dei Mac è insicuro è ad ogni modo errato, anche perché nei Mac più recenti, quelli che possono fare girare macOS 10.13 High Sierra, è integrato un meccanismo che settimanalmente verifica l’integrità del firmware, mostrando un avviso in caso di problemi. L’utility (trasparente per l’utente) si trova in /usr/libexec/firmwarecheckers/eficheck e viene eseguita automaticamente una volta a settimana. L’utility verifica l’integrità del firmware del Mac facendo un confronto con un database di Apple nel quale sono memorizzati firmware certificati e sicuri. Se il confronto va a buon fine, quindi se non c’è alcuna discrepanza tra il firmware nel computer e l’equivalente conservato negli archivi di Apple, non appare nulla. In caso di discrepanza, appare un messaggio di errore.
Il documento di Duo Security è consultabile (in PDF) a questo indirizzo.