لپ تاپ های اپل در معرض ویروسی شدن ، بدون امکان شناسایی و حذف!

محصولات اپل همیشه از لحاظ بحث امنیتی، یک سرو گردن بالاتر از محصولات ویندوزی قرار دارند و این مورد بعنوان یک نقطه قوت خوب برای این محصولات نلقی می شود. اما به تازگی یک محقق امنیتی روشی را کشف کرده که می توان از آن طریق توسط یک بدافزار مجازی به لپ تاپ های مک نفوذ کرد بدون اینکه آنتی ویروس قادر باشد آنرا شناسایی و حذف کند. این شیوه نقوذ که بهتر است بگوییم حمله مخرب، Thunderstrike نامیده می شود و در آن یکسری کد های مخرب بر روی بوت رام (Boot ROM) سیستم از طریق اتصال Thunderbolt نصب می شوند. آقای Trammell Hudson که در شرکت سرمایه گذاری Two Sigma کار می کند، بعد از درخواست کارفرمای خود مبنی بر بررسی سطح امنیت نوت بوک های اپل موفق به کشف این مشکل امنیتی شد.

وی در ابتدا متوجه شد که می توان بعد از باز کردن فیزیکی لپ تاپ و دسترسی به یک تراشه لحیم شده بر روی مادربورد، بوت رام را دستکاری کرده و کدهای مخرب را بر روی آن نصب نمود. اما در مراحل بعدی Hudson به این موضوع پی برد که این اتفاق دقیقا می تواند از طریق پورت تاندربولت روی دهد بدون اینکه نیاز باشد لپ تاپ را باز کرد. بنابراین با اتصال یک وسیله خارجی از طریق این پورت، درست هنگام بوت شدن سیستم تمام این کدهای مخرب به راحتی وارد بوت رام می شوند. پورت تاندربولت خطوط PCIe را به محیط بیرون از مادربورد منتقل می کنند و در زمان بوت شدن سیستم فریم ویر EFI از دستگاه متصل شده می خواهد تا هرگونه گزینه رام همراه خود را اجرا کند.

از آنجائیکه این اولین شیوه آلوده کردن سخت افزاری یا به اصطلاح بوت کیت (BootKit) در فریم ورهای OS X می باشد، در حال حاضر هیچ سیستمی جهت اسکن کردن و شناسایی آن وجود ندارد. این موضوع از همان شروع کار سیستم می تواند مشکل ساز باشد چون به راحتی کلمه عبور کاربر برای ورود به سیستم را شناسایی کرده و علاوه بر آن کد های استفاده شده در زمرگذاری اطلاعات موجود در ابزارهای ذخیره سازی و همچنین دسترسی به هسته OS X را برای نفوذ هکرها ایجاد می کند.

بعد از اینکه این کد های مخرب وارد سیستم شما شدند، دیگر نمی توان از روش های نرم افزاری آن را حذف کرد. چون این بدافزار کنترل اصلی هسته و به روز رسانی های انجام شده را در اختیار دارد. حتی پاک کردن و نصب مجدد OS X و همچنین تعویض ابزار ذخیره سازی هم نمی تواند به حذف کردن آن کمکی کند چون این بدافزار به صورت سخت افزاری وارد سیستم شده است.

خوشبختانه Hudson گزارش داده که بعد از این کشف، اپل در حال کار بر روی ارائه یک به روز رسانی می باشد تا مانع از نصب این کد های مخرب از طریق اتصال Thunderbolt به داخل بوت رام شود. اما اگر این مشکل حل شود، بازهم می توان با دستکاری مستقیم این کد ها را وارد بوت رام سیستم نمود که نیاز به باز کردن سخت افزاری لپ تاپ دارد. پس مشکل اصلی همچنان سرجای خود باقی است و باید دید اپل چه اقدامی را برای حل آن در پیش خواهد گرفت.