パスワードを忘れた? アカウント作成
11868915 story
MacOSX

Thunderbolt経由でMacに感染するマルウェア 27

ストーリー by hylom
ハードを放置するのは危険 部門より
あるAnonymous Coward 曰く、

Thunderbolt経由でMacのブートROMに悪意のあるコードをインストールするマルウェアが作られたそうだ(CNET Japan)。

このマルウェアはファームウェアを狙い、また直接ハードウェアにアクセスして悪意のあるコードをインストールするため、既存のセキュリティソフトでは対策ができないという。さらに、OSが起動する前にインストールされたコードが有効になるため、OS起動前からのキーストロークの記録やカーネルへのバックドアの設置、ファームウェアパスワードのバイパスなども可能になり、削除も困難だという。

ハードウェアを直接操作する必要があるため、感染させるためのハードルはやや高いほか、Appleは現在この攻撃を防ぐためのアップデートの準備に取りかかっているとのこと。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2015年01月13日 20時00分 (#2742911)

    Linux kernel 3.17でAppleのThunderboltをサポート [applech2.com]

    まぁAppleのEFIにThunderboltポート経由でブートキットが感染する脆弱性が発見 [gigazine.net]てことは
    Thunderboltの脆弱性ではなく
    AppleのEFI上の問題だから
    Linuxは関係ないのかな

    > EFIの脆弱性によってThunderboltで接続するストレージなどのデバイスからブートキットが感染させられる恐れ

    てことはPCIeブートのストレージでもあかん気もするがどうなんだろう
    PCIeブートの考慮はしたがその先のThunderboltはケア漏れってことなんかな

    # 電撃ショック!

    • by Anonymous Coward on 2015年01月14日 1時36分 (#2743059)

      OS が起動する前の話なので関係ないでしょう。

      > てことはPCIeブートのストレージでもあかん気もするがどうなんだろう
      > PCIeブートの考慮はしたがその先のThunderboltはケア漏れってことなんかな

      通常、PCIe は筐体の外に出ていないが、Thunderbold の場合はポートという形で外部からアクセスできるようになっている、というのが大きな違いだと思います。
      ExpressCard とかなら、同じことができちゃうんじゃないでしょうか。

      親コメント
      • by Anonymous Coward on 2015年01月14日 9時36分 (#2743124)

        その理屈で言うとUEFIを
        USBメモリでアップデートできる
        多くのマザーボードが脆弱ってことにならんかね

        親コメント
        • by Anonymous Coward

          今後はROM書き換えから保護するためのジャンパスイッチが必須になるかもね

        • by Anonymous Coward

          UEFI内から書き換えてるうちは署名チェックが走るので安全。既存Macでもちゃんとチェックされるらしい。
          こいつは拡張カードのBIOSをCPUで実行する時はチェックが走らず、CPUで実行するコードは本体BIOS ROMにアクセスできるというのが問題。

          既存マザーボードでもUSB-PCIブリッジとかを接続できて、かつそこから起動できる設計になってたら危険なんじゃないか?
          あとはビデオカードBIOSを改竄されたらそこを踏み台にされる危険がある。

  • ...原理は違うかもだが、プラグインするハードウェアは、対策かなり難しいよね。

    # とはいえ、なあ

    --
    M-FalconSky (暑いか寒い)
    • by Anonymous Coward

      気安くファームをいじれるMacにビックリだ

  • by Anonymous Coward on 2015年01月13日 19時31分 (#2742901)

    Mac もセキュアブートになってしまうのかな?
    USB メモリにインストールした Linux とか起動するのに便利だったんだけど。

    • by Anonymous Coward

      セキュアブート及びドライバ署名の必須化で被害は軽減できるにしろ、そもそもの問題はThuderbolt経由のDMA攻撃 [wikipedia.org]なわけで、これだけでは根本的解決にはならいんですよね。

      • by Anonymous Coward

        おっと、勘違い。DMA攻撃ではなく、オプションROMを使った攻撃なのか…。これは互換性を考えると対策が難しそう。

        • by Anonymous Coward

          ThunderboltにつながっているところのROMを使うものでApple製品以外なら無視するんでしょうな。
          既存品はあったとしても大した種類はないでしょうからROMコードの妥当性を検査するようにすればよいかと

          • by Anonymous Coward

            Apple製品以外でも、Thunderbolt経由で外部GPUを使う場合などに必要となるはずです、多分>オプションROM

            >妥当性を検査
            悪くない案ですが、新製品が出るごとにアップデートするとなると、書き換え回数が厳しいような…

  • by Anonymous Coward on 2015年01月13日 19時49分 (#2742905)

    ファームウェア改竄できるってのも怖いですけど、ケーブルに石を埋め込むとなると
    いずれ石にマルウェアをハードコーディングされそうですね。

    アイロンに電子タバコとか実例もありますし。

    • by Anonymous Coward

      PCIeブートなどBoot BIOS経由で起動する場合は
      拡張カードの方には入ってますな
      RAIDカードとかも

      んで-○-みたいなケーブルにして
      ○の部分に石用意すればええんじゃないかと

      その先の機器のBoot BIOSは切っておくかなしのものなら
      本体から見たらBoot BIOSありの機器に見えるんじゃなかろうか

      で本体のExtensible Firmware Interfaceが
      Boot BIOSに全権委任しちゃったりすると
      やりたい放題になるということではなかろうか
      EFIハックとかも
      Basic Input/Output Systemでも可能だったりするんかな

      # EFIすらも脱獄

  • by Anonymous Coward on 2015年01月13日 19時57分 (#2742909)

    Thunderbolt 使ってます?

    外部モニタには必須だし、いつかはThunderbolt 周辺機器を使うかも知れない。
    でもAppleのことだから、いつ別の規格に変わるかわからないんだよね。
    さすがにUSBを切ることはできないだろ、と思って、周辺機器はUSB3.0で固めてますが、どうなるかなあ。

    • Re:Thunderbolt 使ってる? (スコア:2, すばらしい洞察)

      by Anonymous Coward on 2015年01月14日 8時59分 (#2743110)

      1394と同じ道たどるだろうなと思ってますので。。

      親コメント
      • by Anonymous Coward

        IEEE-1394は1999年から2012年まで発表された全てのMacに標準で搭載されておりました。実は、2015年1月現在も非Retina MacBook Proには搭載されてます。Thunderboltは2011年提供開始なので、IEEE-1394と同じ運命をたどるとしたら2024年から2026年くらいまでは使い続けられるということになります。どうせ外付けPC機材は10年もたったら耐用年数超過または陳腐化でお役御免になっていますから、今ならThunderbolt機器を安心して買えるということになりますね。

    • by Anonymous Coward on 2015年01月13日 20時18分 (#2742923)
      すでに次期Macbook Air Retina 12inchではThunderboltは無くなり、給電含めてUSB3.1に一本化とかいう噂ですね。
      親コメント
      • by Anonymous Coward

        Mac持ってないけど、これはいいね。

    • by Anonymous Coward

      HDDを買ったんだけど、すぐに切れるし、USB3の方がよっぽど安定..
      こんなにケーブルに相性があるとは...

    • by Anonymous Coward

      まだ使ってはいませんが、USBよりも短いレイテンシが実現できることを考えると、ポートに南京錠を付けてでも生き残って欲しい規格ですね。

  • by Anonymous Coward on 2015年01月13日 20時47分 (#2742938)

    007を思い出した私はオッサンですか

  • by Anonymous Coward on 2015年01月14日 14時09分 (#2743254)

    「ホテルのルームクリーニング(に扮したスパイ)があなたのMacにスパイウェアを仕掛けるかも」と今回の実証をやった人は言ったみたいだけど、そんなプロのスパイじゃなくても身近な事例はいくらでも思いつきますね。

    例えば…。

    他社に引き抜きされる社員が会社で自分が使っていたMacに、この手法でスパイウェアを仕込んでおいて、退職後に企業機密を盗んで転職先へ手土産にしようと企む。

    多重債務で悩んでいる社員が、残業で一人になった時に経理担当のMacにスパイウェアを仕込んでオンラインバンクの認証情報を盗む。

    派遣社員が、支給されたMacにスパイウェアを仕込んでおいて、契約終了後に遠隔で機密情報を盗む。

    PCショップの店員が、美人が購入するMacにスパイウェアを仕込んで、Webカメラで毎日除き見する。

    最後のは業務とは関係ない例になっちゃったけど、検知も駆除もできないウィルスを仕込めるとしたら、いくらでも悪用ができて怖いですね。

    企業がMacを社員に使わせるとしたら、その社員が会社を辞めた時は、そのMacは廃棄処分にしないといけないのかもね。

typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...