如果你認(rèn)為蘋果Mac比Windows系統(tǒng)更安全，請三思。研究人員已經(jīng)證明了：這不是真的。

Mac不再“百毒不侵”

兩名研究人員開發(fā)出第一個可感染Mac的固件蠕蟲病毒，并且可以在無需聯(lián)網(wǎng)的情況下在MacBook間進(jìn)行自動傳播。

該病毒被稱為“Thunderstrike 2”，是年初“Thunderstrike”病毒的變種(FreeBuf曾詳細(xì)報道過)。它可以在固件層面感染Mac，并且難以根除。固件被感染后將不能進(jìn)行修復(fù)或升級，這意味著人們幾乎對它束手無策。

漏洞作者仍為LegbaCore公司創(chuàng)始人、安全專家 Trammell Hudso，他也是另一種BIOS惡意軟件Xeno Kovah的創(chuàng)造者。Thunderstrike展示了蠕蟲通過外設(shè)(Thunderbolt接口)物理接觸及利用蘋果EFI安全漏洞惡意傳播的能力，而 Thunderstrike 2則擁有通過惡意網(wǎng)站或電郵即可傳播的能力。

Thunderstrike 2可遠(yuǎn)程傳播

盡管原型Thunderstrike要求攻擊者物理訪問用戶Mac電腦才能進(jìn)行破壞，而新的攻擊則可以通過遠(yuǎn)程傳播。

Thunderstrike 2通過連接Mac機(jī)器Thunderbolt(雷電)接口的外接設(shè)備(以太網(wǎng)適配器，外接SSD，RAID控制器等)進(jìn)行傳播。

一旦感染上此惡意軟件，Mac會在ROM層級固件上感染。之后惡意軟件便可以自動傳入到任何插入該附件的Mac中。

視頻演示

研究者在視頻中展示了他們的攻擊。

感染Mac于無形

惡意蠕蟲Thunderstrike 2攻擊和駐地都在固件中，因此可以逃避系統(tǒng)整體重啟，這也是令Mac用戶真正痛苦的地方。

Kovah告訴《連線》雜志，

“Thunderstrike 2真的很難發(fā)現(xiàn)，也很難清除，在固件中運(yùn)行的東西是很難防范的。多余大多數(shù)用戶而言，這就是個‘把你的Mac扔了去’的問題。很多用戶和組織沒有足夠的能力打開他們的機(jī)器然后對芯片進(jìn)行重新電子編程。”

研究者用于開發(fā)Thunderstrike 2的許多固件漏洞同樣適用于EFI固件。這六個漏洞影響戴爾、惠普、聯(lián)想、三星等電腦。在蘋果完全修復(fù)了一個漏洞之后，還有五個漏洞對Mac固件存在影響。

本周，這兩位研究者將在拉斯維加斯的黑帽和DEF Con安全大會上就成果進(jìn)行展示，值得期待。

蘋果公司回應(yīng)

根據(jù)《衛(wèi)報》的最新報道指出，蘋果已經(jīng)承諾會盡快修復(fù)在Mac中出現(xiàn)的這個漏洞。

隨著 Thunderstrike 2 與日俱增地高調(diào)曝光，蘋果已經(jīng)注意到了這個漏洞，并承諾將會盡快進(jìn)行修復(fù)。與此同時，蘋果已經(jīng)采取臨時的措施來阻止漏洞被利用，其中包括廢除使用這個漏洞的開發(fā)者證書，和任何使用該惡意軟件進(jìn)行升級的應(yīng)用。