ThunderStrike, la vulnerabilità per sistemi Mac OS X quasi impossibile da bloccare

Una vulnerabilità nel cuore dei sistemi Mac OS X di Apple apre la porta all’installazione di Bootkit che consentono agli hacker di prendere agevolmente il controllo del Mac infetto. A scoprire il bug è stato Trammel Hudson, ricercatore sulla sicurezza e hobbista appassionato di reverse engineering (ingegneria inversa).

La vulnerabilità, che prende di mira tutti i Mac prodotti dal 2011 in poi, è stata resa nota in occasione del recente “Chaos Computer Congress (31C3)” che si è tenuto ad Amburgo, in Germania, durante il quale Hudson  ha descritto il funzionamento del bootkit battezzandolo Thunderstrike (qui il video dell’evento che mostra Hudson in azione)

ThunderStrike è un bootkit che si installa collegando un dispositivo alla porta Thunderbolt del Mac, in termini tecnici installa nell’EFI (Extensible Firmware Interface) una Option ROM che rimpiazza le encryption key del Mac (RSA) con chiavi preparate ad hoc dall’hacker, in modo tale che solo lo stesso hacker potrà rimuovere l’exploit, tagliando così fuori l’utente da qualunque tipo di operazione.

Una volta installato, l’exploit è in grado di replicarsi copiando se stesso nella memoria di altri dispositivi Thunderbolt collegati al Mac infetto. Sebbene per installare l’exploit sia necessario mettere fisicamente mano sul dispositivo, la potenza dell’attacco è davvero devastante, nessuna formattazione potrà risolvere il problema, né tantomeno pensare di sostituire il disco fisso, insomma una sorta di “virus” che solo pochi esperti saranno in grado di rimuovere. Dal canto suo Apple avrebbe solo rimediato parzialmente al problema, nella fattispecie avrebbe corretto la falla negli ultimi Mac Mini e iMac Retina immessi sul mercato, la patch dovrebbe essere resa disponibile presto anche per gli altri dispositivi commercializzati dalla casa di Cupertino, ma lo stesso Hudson mette in guardia gli utenti specificando che si tratterebbe solo di una protezione parziale.

Commenti