Gat in firmware van MacBooks van voor 2014 maakt ze kwetsbaar voor malware

Een kwetsbaarheid in Macs die inmiddels al meer dan een jaar oud is stelt aanvallers in staat om permanent toegang en controle te krijgen over een Mac(Book). Zelfs na het opnieuw installeren van OS X of het formatteren van de harddisk. De kwetsbaarheid is ontdekt door beveiligingsdeskundige Pedro Vilaca. Als je een MacBook uit de sluimerstand haalt zijn er delen van het BIOS flashgeheugen toegankelijk zodat je daar via een patch malware in kan installeren:

It means that you can overwrite the contents of your BIOS from userland and rootkit EFI without any other trick other than a suspend-resume cycle, a kernel extension, flashrom, and root access.

Doordat de malware in het flash geheugen van de MacBook staat en niet op de harddisk is het ook moeilijk te verwijderen. In principe heb je daar een firmware-update voor nodig die het BIOS van de geïnfecteerde Mac kan flashen. Deze kwetsbaarheid is al enige tijd bekend en er zijn geruchten dat de NSA deze manier ook heeft gebruikt om toegang te krijgen tot gegevens van personen die de Amerikaanse overheid wil monitoren. Zo is er een gerucht over een persoon die bij Apple een Mac bestelde en dat de NSA deze tijdens het verzenden heeft onderschept en de firmware heeft aangepast om op afstand toegang tot de MacBook te krijgen.

Doordat Apple het gat deels al heeft gedicht in nieuwere MacBooks en mid-2014 modellen zijn vooral Macs uit 2014 en daarvoor kwetsbaar. De onderzoeker stelt ook dat het geen massa-exploit is maar dat het gat alleen interessant is om individuen te monitoren. Toch is het vreemd dat Apple het gat nog niet heeft gedicht via een firmware-update voor oudere Macs en daarom roept hij iedereen op om Apple op het gat te wijzen met de vraag het te dichten.
osx