Une faille de sécurité complexe a été découverte sur des portables Apple par un chercheur qui en fera la démonstration la semaine prochaine en Allemagne, lors du Chaos Communication Congres. Trammell Hudson explique que, moyennant un accès physique à une machine, il peut installer un logiciel exécutable à l'intérieur de la ROM EFI qui gère le démarrage de la machine.
L'installation et la diffusion de ce code se fait au moyen d'un périphérique Thunderbolt dont la ROM peut voir son contenu corrompu à des fins d'infection. La faille permettant cette infection est connue depuis deux ans, elle avait fait l'objet d'un exposé lors d'une précédente manifestation Black Hat [PDF]. Mais Trammell Hudson explique qu'il est beaucoup plus compliqué de détecter la modification appliquée au firmware du Mac une fois que le programme interne de l’EFI a été flashé. Il n'y a pas de test effectué au démarrage pour vérifier l'intégrité de ce composant.
Cette ROM étant indépendante du système d'exploitation et d'autres éléments matériels, il ne sert à rien non plus de réinstaller OS X ou de changer le support de stockage où est installé le système. Il faut parvenir à reprogrammer l'EFI et, pour cela, savoir qu'il a été modifié. Sachant que d'autres techniques peuvent être employées pour masquer cette présence. En outre, cette reprogrammation doit être réalisée de manière matérielle et non logicielle car l'intrus est signé avec une clef privée émise par le hacker et non plus par la clef publique d'Apple… La conférence de Trammell Hudson se tiendra le 29 décembre prochain.
Source : SecurityWeek
