“永不中毒”的Mac神话破灭……

每当有人问你Mac需要装什么杀毒软件的时候,你总是回答:不需要,Mac本身就很安全

——现在,这个回答已经过时了。

根据《连线》杂志报道,这款新的蠕虫病毒被命名为Thunderstrike 2,利用了苹果Mac OS X操作系统中的漏洞,可以直接感染到Mac电脑的固件,完全不会引起用户注意和Mac防火墙系统的报警。今年早些时候,苹果修复了Thunderstrike漏洞,当时这个漏洞可以让Thunderstrike 1代病毒使用Mac电脑的Thunderbolt接口硬件传染。现在,2代病毒已经在传染性上升级:既可以通过USB、Thunderbolt等硬件I/O传染,也可以直接夹带在电子邮件里传播。

thunderstrike-screen

该病毒由两名白帽黑客共同开发出来,目的在于证明Mac电脑固件也可以感染病毒,并进一步演示这种不需要网络也可以大规模传播的固件病毒,对计算机安全的侵害:

1)首先,假设一台Mac电脑通过电子邮件或钓鱼网站感染了该病毒;

2)插入到该电脑里的设备,比如苹果接口转换器(雷电转USB、USB转以太网等)、读卡器、外置SSD硬盘、RAID控制器等等,都会被感染;

3)重启第一台电脑之后,会发现无法启动OS X,画面显示电脑已被黑;

thunderstrike-gif-1

4)把这个设备再插入到另一台关机的“干净”电脑,然后开机,蠕虫病毒会直接感染固件,新电脑也无法开机了……(下图)

thunderstrike-gif-2

桌面电脑上的固件(大多数人更熟悉BIOS、EFI、UEFI这几个名称)是一种介于硬件和应用软件之间的软件系统,储存在芯片当中,主要的功能在于启动硬件、开启操作系统。固件是桌面电脑最重要的预装软件之一,理论上讲,如果被固件病毒感染,被感染的固件将可以感染、完全阻断新的固件升级,甚至直接让电脑“变砖”无法启动和使用。

想要实现这种病毒的大规模传染也不难:把已经感染的接口转换器、读卡器分享给其他人,或者干脆放在淘宝二手上低价出售……

目前,固件病毒没有“杀毒软件”可以杀死,这是因为杀毒软件存在于操作系统的应用层和底层当中,根本无法检测到更下一层的固件层级。如果电脑感染病毒,唯一的杀毒方法就是拆机、重刷固件。不过根据报道,戴尔、联想等厂商正在它们销售的PC上开发使用校验和(Checksum)来校验系统固件是否被篡改的软件功能,而本文的主角苹果,以及其他绝大部分PC厂家,并没有进行这方面的努力。

此前,OS X 10.10.2中已经修复了Thunderstrike 1代病毒利用的系统固件漏洞。苹果公司还未就本文提到的2代病毒做出公开回应。

订阅更多文章

你可能感兴趣的: