Onderzoeker Trammell Hudson gaat binnenkort een veiligheidsprobleem dat in de Thunderbolt Option ROM zit publiceren, waarmee het mogelijk zou zijn om een Mac te infecteren door een apparaat aan te sluiten waar kwaadwillende code op staat. Dit veiligheidsprobleem bestaat al sinds 2012, maar kennelijk is er tot nu toe nog steeds niets aan gedaan.

Omdat deze Thunderbolt Option ROM apart op het logic board zit zou het na een infectie geen zin hebben om OS X er 'schoon' op te zetten of de harddisk te vervangen. Daarbij is het ook mogelijk om de de cryptografische sleutel van Apple te vervangen door een ander, waardoor updates niet meer geaccepteerd zouden worden.

There are neither hardware nor software cryptographic checks at boot time of firmware validity, so once the malicious code has been flashed to the ROM, it controls the system from the very first instruction. It could use SMM and other techniques to hide from attempts to detect it.

Doordat de EFI zelf hier gehackt zou worden is het zelfs mogelijk geworden om Apple's beveiliging FileVault met een bootkit te omzeilen.

Omdat er van dit veiligheidsprobleem alleen gebruik gemaakt kan worden door een Thunderbolt-apparaat aan te sluiten lijkt het risico op dit moment nog relatief klein. Maar deze infectie kan van het ene naar het andere Tunderbolt-device 'overspringen', dus als dit zich echt gaat verspreiden dan ziet het er niet best uit.

Op 29 december houdt Trammell Hudson een lezing hierover in Hamburg. Meer daarover op deze pagina, die ironisch genoeg een melding geeft dat het certificaat niet geverifieerd kan worden.

USB ken een soortgelijk lek, tsja wat is dan nog wel veilig...

en hier in het Nederlands:

http://tweakers.net/nieuws/100493/onderzoeker-kraakt-efi-chip-macbook-via-thunderbolt-port.html

Momenteel is niet veel veilig meer. Maar: hoewel het USB-lek ernstig is, is het Thunderbolt-lek ernstigER. Dit heeft te maken met het karakter van Thunderbolt.

Thunderbolt (of LightPeak) Architectuur faciliteert verschillende protocollen en technieken, zoals PCIe, USB, FireWire, DisplayPort en nog een paar anderen.

In de PCI Express modus heb je vanuit de controller toegang tot de meest rudimentaire laag van het systeem, te weten de systeem-bus. Daarmee heb je onbeperkte toegang tot werk-, systeem geheugen en schijfopslag, resources als netwerk, video en zelfs CPU zijn op bepaalde voorwaarden te betrekken bij een Thunderbolt-hack.

Op dat niveau is het mogelijk om de I/O (invoer/uitvoer) om te leiden of anders in ieder geval uit te lezen hetgeen schijf en bestandsversleuteling als FileVault, Bitlocker en TruCrypt eigenlijk verwordt tot een minder zinvolle exercitie en versleuteld netwerk verkeer evenzeer op low-level hardware niveau uit te lezen is (onversleuteld).

Het vervelende is dat de input/output memory management unit (kortweg IOMMU) ook toegang heeft tot de grafische verwerkingseenheid, dit betekend dat het ook nog eens mogelijk is om het videoram uit te lezen, waarmee "systeem schermuitvoer" gewoon zichtbaar gemaakt kan worden (op afstand) zonder dat je het doorhebt.

Let wel, deze hack treft ALLE Thunderbolt hardware. Het is echter wel bijzonder zuur dat ALLE moderne Apple Desktop en Notebooks gebruik maken van Thunderbolt, waarmee alle oplossingen van Apple vatbaar zijn voor zowel het USB lek EN het Thunderbolt lek.

Er zijn oplossingen denkbaar, maar dan wordt de posting wel erg lang ...

Kortom: Apple platform is veilig - ook na dit lek - maar de beveiliging heeft wal wat deuken opgelopen; we zullen zien wat de toekomst brengt. Het is duidelijk dat we komend jaar ongetwijfeld wat hack-pogingen zullen zien op het Mac platform. Zeker gezien Apple's uitspraken met betrekking tot veiligheid, verder wordt het als een uitdaging gezien om Apple te kraken. Op zich een compliment, maar in groeiende mate ook een gevaar voor het platform.

De tijd zal het ons leren ...

Mvg,

Doctor