Ruhezustands-Sicherheitslücke bedroht Macs beim Aufwachen
Alexander Trust, den 2. Juni 2015IT-Forensiker Pedro Vilaca hat eine Sicherheitslücke für Mac OS X aufgedeckt bzw. eine vorhandene Lücke so umgewandelt, dass nun kein physikalischer Zugriff mehr auf entsprechende Macs notwendig ist, um sie zu manipulieren.
Vilaca berichtet in seinem Blog, dass er als Ausgangspunkt die Arbeiten rund um die Thunderstrike genannte Sicherheitslücke von Trammell Hudson genutzt hat, sowie Angriffsszenarien auf die UEFI-Sicherheit, die auf Arbeiten von Darth Venami, Rafal Wojtczuk und Corey Kallenberg fußen. Neu ist, dass der Hacker keinen physikalischen Zugriff auf den Mac benötigt. Wie zuvor bedeutet dies, dass Nutzer, selbst wenn sie ihre Festplatte formatieren, oder sogar austauschen, nach wie vor nicht mehr sicher wären, weil das BIOS überschrieben ist.
Aufwachen aus dem Ruhezustand bedroht Macs
Apple hatte die Thunderstrike-Lücke zwar mit OS X 10.10.2 geschlossen, doch bleiben so gut wie alle Macs, die vor Mitte 2014 verkauft wurden, weiterhin von diesem Angriffsszenario bedroht, weil sie leider ein ganz anderes Problem haben. Vilaca fand heraus, dass aus einem unerfindlichen Grund diese Macs beim Aufwachen aus dem Ruhezustand den Schreibschutz ihres BIOS kurze Zeit entfernen.
Hacker müssten also nur diesen Vorgang auslösen, den man per Software anstoßen kann, und benötigen nach wie vor eine Kernel-Erweiterung, ein Flashrom und natürlich Root-Zugriff. Anders als bei Thunderstrike sind dies alles Voraussetzungen, die man ohne physikalischen Zugriff auf einen Mac erlangen kann. Rein theoretisch könnte man eine Webseite präparieren. Würde ein Nutzer den Deckel seines MacBooks nach einer Phase der Ruhe öffnen und die Seite anzeigen, könnte diese ein Rootkit installieren.
Apple müsste, damit diese Sicherheitslücke auf Macs, die vor Mitte 2014 erschienen sind, geschlossen wird, ein neues Firmware-Update veröffentlichen.