Thunderstrike 2: se possiedi un Mac sei a rischio

Tre ricercatori hanno dimostrato come infettare il firmware di un pc. Apple ha dichiarato l'immunità dei propri sistemi. Sarà vero?

0
230
thunderstrike-2-0c4a4569d8f4a9c5bc38711b37fe76c4a
La schermata di Thunderstrike 2, sviluppata dai ricercatori

Tre ricercatori, Corey Kallenberg, Xeno Kovah e Trammell Hudson, hanno dimostrato come sia possibile trascrivere un virus nel firmware di un computer. I test, infatti, sono stati svolti con successo sia su device Windows che Unix. Dopodiché Apple ha tempestivamente sottolineato l’immunità dei propri dispositivi.

Xeno Kovah, il team manager del progetto Thunderstrike , ha affermato: “Apple ha sistematicamente dichiarato che non erano vulnerabili agli attacchi ai firmware dei PC. Questa sessione fornirà la prova decisiva che i Mac sono in realtà vulnerabili a molti degli attacchi al firmware che colpiscono anche i PC“.

Cosa è il firmware?

Il firmware (extensible firmware interface, EFI) si avvia all’accensione del computer prima del sistema operativo. E’ quella “schermata nera” che si nota prima del caricamento di Windows. L’EFI si trova fisicamente sulla ROM (un piccolo chip nella scheda madre), non sull’hard disk o SSD. Thunderstrike 2 viene seguito direttamente sulla ROM, infatti, risulta immune dalla formattazione alla sostituzione della memoria fisica.

Come si propaga il virus

Si può essere infettati da remoto, oppure tramite Option ROM. In entrambi i casi, comunque, l’hacker non necessita dell’accesso fisico al pc. Per essere infettati da remoto, è sufficiente aprire un link, magari allegato ad un’email di phishing. La tecnica attraverso Option ROM, invece, consiste nell’infettare firmware di altri device come memorie e tastiere usb e lettori mp3. Quando un dispositivo infetto viene inserito in una nuova macchina, il malware procede con l’infezione della stessa.

L’unico modo di eliminare Thunderstrike 2 è quello di effettuare il flash del chip contente il firmware. I ricercatori stanno sviluppando un tool che permetta il controllo di Option ROM. Questo, tuttavia, può prevenire l’infezione, ma non può correggerla.  Thunderstrike 2 non verrà diffuso, ma qualche sviluppatore malintenzionato potrebbe farlo da sé.