I Mac non sono invulnerabili: possono essere colpiti da Thunderstrike, infezione che si diffonde sempliceimente collegando il computer a un dispositivo infetto. Lo ha dimostrato Trammel Hudson, un ricercatore di sicurezza che, come anticipato nei giorni scorsi, durante il Chaos Computer Congress di Amburgo ha mostrato con che facilità un dispositivo Thunderbolt è in grado di modificare il firmware del computer in maniera del tutto invisibile e difficilmente rimediabile.
In sostanza l’hack, conosciuto con il nome di Thunderstrike, infetta l’Apple Extensible Firmware Interface (EFI): ciò che più stupisce è che la modifica non può essere né rilevata né rimossa reinstallando OS X. Inutile anche intervenire sui dati archiviati sul disco – spiega il ricercatore – quindi formattare o sostituire fisicamente il disco non avrà alcun effetto: l’unico modo per ripristinare il firmware originale è quello di usare un dispositivo hardware in grado di riprogrammare il chip del computer. Apple ha già implementato una correzione nelle ultime versioni di Mac mini ed iMac con display retina che sarà presto disponibile per gli altri Mac, ma a detta di Hudson fornisce solo una protezione parziale.
Una volta installato l’hack, il firmware non può essere rimosso visto che sostituisce la chiave RSA pubblica di Apple: ciò significa che ulteriori aggiornamenti firmware saranno negati se non saranno prima firmati dalla chiave privata dell’hacker che attacca il computer. Il firmware infettato può inoltre diffondersi copiando se stesso nella ROM di altri dispositivi Thunderbolt collegati al Mac infetto ed anche in questo caso sarà impossibile scoprire se tali dispositivi sono stati modificati oppure no.
La buona notizia è che questo sistema richiede l’accesso fisico al Mac, inoltre nessun hacker è a conoscenza di tutti i firmware bootkit Mac esistenti anche se, ricorda Hudson, di quest’ultima non vi è certezza assoluta. In base a quanto si apprende, in passato la NSA ha utilizzato metodi simili intercettando fisicamente dispositivi spediti prima che potessero raggiungere gli acquirenti: a quel punto nessuno può sapere se uno di questi, magari ingenuamente, si è ritrovato con il Mac infettato e lo ha ad esempio collegato al monitor Thunderbolt di un hotel, estendendo così il virus potenzialmente a milioni di utenti in tutto il mondo.
Per chi volesse approfondire l’argomento segnaliamo che le slide mostrate da Hudson durante il congresso sono già disponibili su Flickr (click qui), mentre su CCC-TV è possibile guardare in streaming o scaricare il video del suo intervento (click qui).