Tutkija löysi Applen Mac-tietokoneista vakavan tietoturva-aukon, jossa tietokoneen varusohjelmiston voi kirjoittaa uusiksi käyttäjätilasta.Pedro Vilaçan löytämä haavoittuvuus käyttää hyväkseen ohjelmointivirhettä, joka liittyy Mac-tietokoneiden virransäästötilaan. Kun Mac on ollut virransäästötilassa ja herännyt siitä takaisin käyttöön, jää osa EFI (extensible firmware interface) -muistialueesta vapaasti muokattavaksi käyttäjätilan kautta.
Jos EFIin kirjoittaa haitallista koodia, se ajetaan koneen avautuessa jo ennen käyttöjärjestelmää ja voi siten säädellä kaikkea mitä koneella tapahtuu. Tällainen haittaohjelma voi hyvin tehtynä olla käytännössä havaitsemattomissa normaalin käyttäjän kannalta, vaikka hyökkääjällä olisi koko ajan täydellinen pääsy kaikkeen mitä koneella tehdään.
Tutkijan mukaan temppu voisi onnistua myös etänä selaimen kautta. Selaimen kautta koneelle asentunut haittaohjelma voisi odottaa kunnes tietokone käy lepotilassa ja sen jälkeen kirjoittaa haluamansa koodin EFI-muistiin. Periaatteessa sovellus voisi myös pakottaa koneen lepotilaan.
Hyökkääjän tosin täytyy saada koneeseen pääkäyttäjän oikeudet, mutta tutkijan mukaan se ei ole varsinaisesti hankalaa. Lisäksi jokaista eri Macia varten tarvitsisi tehdä omat versionsa hyökkäyskoodista, sillä koneiden varusohjelmistoissa on eronsa.
Tutkijan mukaan Apple on todennäköisesti tietänyt ongelmasta, sillä se näyttäisi olevan korjattu vuoden 2014 puolivälin jälkeen myydyissä Mac-tietokoneissa.
Uutissivusto iTnews vahvisti omilla testeillään, että vuoden 2015 Macbook Air tai Macbook eivät olleet murrettavissa tällä hyökkäyksellä. Sen sijaan vuoden 2013 Macbook Pro kyllä antautui Vilaçan havainnon edessä.
Vain muutama kuukausi sitten oli puhetta Thunderstrike nimisestä hyökkäyksestä Maceja kohtaan, jossa EFI-muistin ylikirjoitus onnistui käyttämällä Thunderbolt-väylää haittaohjelmiston asentamiseen koneen käynnistyksen yhteydessä.
Uusi hyökkäys on kuitenkin huomattavasti yksinkertaisempi toteuttaa kuin Thunderstrike.
Tutkijan huomio on vakava, mutta mikäli pahantahtoinen tunkeutuja saa pääkäyttäjän oikeudet koneelle, sen turvallisuus on tietysti helppo purkaa muillakin tavoilla. Tässä haavoittuvuudessa erityisen pirullista onkin haittaohjelman piiloutuminen muistiin jo ennen käyttöjärjestelmän lataamista. Hyvin tehty EFI-haittaohjelma voisi vakoilla käyttäjää huomaamattomasti vaikka vuosikausia.
Jos Apple ei korjaa aukkoa vanhoissa koneissa, ei varsinaisia suojautumiskeinoja pahemmin ole niissä tapauksissa, missä pääkäyttäjän oikeudet ovat vietävissä. Paitsi varmistaa, että tietokone ei koskaan käy lepotilassa. Se tosin ei kannettavan omistajaa varmasti lämmitä.
Tutkija tosin itsekin huomioi, että vaikka haavoittuvuus on erittäin vakava, sitä ei todennäköisesti juurikaan kohdisteta peruskäyttäjiin – eikä hyökkääjänä ole perushakkeri. Peruskäyttäjien tietoturvan uhkana kun on myös yksinkertaisempia aukkoja, joiden hyväksikäyttäminen ei vaadi äärimmäisellä huolella valmisteltua EFI-muistiin ladattavaa sovellusta.
– Ei ole tarvetta käyttää hienostuneita hyökkäyksiä, kun yksinkertaisetkin toimivat, tutkija toteaa tekstissään.
Voisi silti odottaa, että aukko kiinnostaa erinäisiä tiedustelupalveluita ja muita vaativia ja pitkäkestoisia kyberhyökkäyksiä suunnittelevia ja suorittavia hyvin rahoitettuja organisaatioita.
