Chuyên gia bảo mật Trammel Hudson tại hội nghị Chaos Computer Congress ở Hamburg vừa trình diễn kỹ thuật hack máy Mac bằng một thiết bị Thunderbolt (Tb). Thiết bị này bị nhúng mã độc ở ROM của cổng Tb, khi bạn ghim cái này vào lỗ Tb thì nó sẽ lây nhiểm virus, malware vào Apple Extensible Firmware Interface - EFI. Chuyên gia này cho biết là sau khi bị lây nhiễm, bạn vẫn không biết được máy mình đã bị, và ngay cả việc cài lại hệ điều hành, hoặc thậm chí thay ổ cứng mới cũng không hết.
Lý do là boot ROM của máy Mac nằm trên mainboard, tách biệt hoàn toàn với ổ cứng và không bị hệ điều hành chi phối, việc cài lại OS là vô nghĩa, thay ổ cứng cũng không giúp ích gì, cách duy nhất để tháo virus là ghim một thiết bị tương tự có phần mềm tháo virus thì mới giải quyết được vấn đề, tuy nhiên chuyện không đơn giản như vậy (đọc ở dưới)
Lý do là sau khi hacker chép đè Firmware máy nạn nhân bằng fw có virus, họ đã cao tay ghi đè luôn cái khóa Public RSA của Apple. Nghĩa là ví dụ Apple có tung ra bản vá lỗi, nạn nhân có muốn cập nhật fw thì sẽ bị từ chối, do private key của bản cập nhật không vừa với public key đã bị hacker thay đổi (khúc này hơi khó hiểu, các bạn vui lòng google private key - public key để đọc thêm, vì nó dài lắm) Lúc này chỉ có hacker với private key phù hợp mới có thể thay đổi fw máy bạn.
Bên trong thiết bị Thunderbolt - Apple Gigabit Ethernet
Ngoài ra, máy lây nhiễm còn tự động chép các mã độc vào thiết bị Thunderbolt khác khi bạn ghim vào, quá trình chép sẽ diễn ra khi bạn khởi động lại máy, thiết bị bị lây nhiễm vẫn hoạt động bình thường, khiến người dùng không cách nào biết là mình đã bị.
Tin tốt là để hack bằng cách này, hacker cần trực tiếp thao tác lên máy bạn, tin xấu là hầu hết Mac chip Intel có cổng Thunderbolt đều có thể bị lây nhiễm, và ví dụ nếu bạn vô tình ghim máy mac của mình vào một cái màn hình Thunderbolt hay cái cáp Tb nào đó bị rồi, thì bạn tiêu là chắc.
Demo máy bị ghi đè Firmware, các bạn chú ý là anh hacker cố tình để logo đỏ vô để phân biệt với máy chưa bị hack, còn ngoài đời thiệt thì họ không làm vậy, nên bạn sẽ không biết được máy bạn có bị lây hay là không.
Nhiều giả thiết cho rằng các cơ quan của Mỹ như NSA đã dùng phương pháp này để "tấn công có chủ đích" vào những nơi họ muốn.
Apple đã có một bản sửa lỗi dành cho Mac Mini và iMac retina, các máy Mac khác sẽ sớm có, vì anh đã cung cấp cho Apple các thông tin để làm việc, tuy nhiên anh Hudson cho biết là việc sửa lỗi này không đảm bảo là sẽ không có cách khác để tấn công vào bằng đường Thunderbolt.
Các bạn có thể xem chi tiết các slide thuyết trình của anh Trammel Hudson tại đây, và xem video anh ấy trình diễn ở dưới, và đọc chi tiết hơn tại đây, do đây là bài lược dịch có bỏ qua nhiều chi tiết giải thích dài dòng.
Theo 9to5Mac
