Sleep mode di Mac, una vulnerabilità permette di riscrivere il firmware

Sleep mode di Mac, una vulnerabilità permette di riscrivere il firmware

Sembrano essere interessati tutti i sistemi Mac antecedenti la metà del 2014: alla ripresa dallo sleep mode cadono le protezioni che impediscono l'accesso in scrittura al firmware della macchina

di pubblicata il , alle 15:43 nel canale Apple
Apple
 

Individuata una pericolosa vulnerabilità per i sistemi Mac più vecchi di un anno che permette, se opportunamente sfruttata, di andare a compromettere il firmware del sistema e portare in ultima istanza ad un controllo persistente e a basso livello della macchina attaccata, senza che una reinstallazione o una formattazione possano risolvere il problema.

La falla è stata individuata dal ricercatore di sicurezza Pablo Vilaca, il quale osserva come paiano vulnerabili tutti i Mac antecedenti alla metà del 2014 e in grado di supportare lo sleep mode. Vilaca ha individuato la possibilità di riscrivere il firmware del Mac usando una funzionalità contenuta in userland, ovvero la parte del sistema operativo dove vengono eseguite le applicazioni e i driver.

La vulnerabilità riguarda il sistema di protezione FLOCKDN che offre alle applicazioni in userland solamente un accesso di tipo read-only al firmware della macchina. Per motivi che il ricercatore non è ancora riuscito a delineare, le protezioni FLOCKDN vengono a cessare dopo che un sistema Mac viene ripreso dallo sleep mode. In questo modo il firmware è vulnerabile alle operazioni di re-flashing da parte di qualsiasi applicazione.

"Il firmware non dovrebbe essere aggiornabile da userland e vi sono determinate protezioni perché ciò non avvenga. Se un firmware è modificabile da userland è possibile inserire in esso un rootkit che sarà più pericoloso dei normali rootkit dal momento che può operare ad un livello più basso e sopravvivere alle reinstallazioni della macchina e anche agli aggiornamenti firmware" osserva Vilaca. La vulnerabilità potrebbe essere sfruttata anche da remoto, specie in combinazione con altre vulnerabilità che permettono di ottenere accesso root alle risorse di sistema.

Secondo Vilaca questa tecnica non verrà comunque sfruttata per attacchi su larga scala, ma è più verosimile che essa venga impiegata per attacchi a bersagli precisi e di alto valore, che i criminali conoscono e verso i quali nutrono particolare interesse.

Come già accennato pare che i Mac commercializzati da metà 2014 in poi siano immuni all'attacco. Non è chiaro, però, se ciò sia dovuto ad una patch rilasciata in silenzio o se la falla sia stata tappata solo casualmente. Attualmente non è possibile fare molto per prevenire questo problema, se non cambiare le impostazioni di default di OS X e disattivare completamente la modalità sleep.

"Dobbiamo iniziare a pensare in maniera differente e stabilire una catena fidata dall'hardware al software. Chiunque cerca di risolvere i problemi partendo dal software quando l'hardware è costruito su fondamenta deboli. Apple ha una grande opportunità in questa faccenda, dal momento che controlla tutta la catena dei loro prodotti. Mi auguro che comprendano e sfruttino questa opportunità" ha commentato il ricercatore.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Nenco03 Giugno 2015, 16:04 #1
Quindi con il mio macbook pro mid 2014 sono immune? esiste una lista?
emiliano8404 Giugno 2015, 09:18 #2
"it's not a bug, it's a feature"
Spaccamondi04 Giugno 2015, 11:46 #3

aprite gli occhi

Quando un bug diventa troppo visibile ne aggiungono appositamente uno più difficile da individuare. Volete dire che ci sono ancora bug sullo sleep mode di questi tempi? seee

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^