Компьютерам Mac старше одного года небезопасно засыпать

Мы пользуемся компьютерами от Apple с практически нерушимой уверенностью в полной безопасности. Да, постоянно обнаруживают различные уязвимости, но Apple быстро выпускает обновление, и мы снова можем спать спокойно. Однако недавно выяснилось, многим компьютерам Mac сон может не пойти на пользу из-за уязвимости, воспользовавшись которой злоумышленник может получить контроль над машиной.

Проблему обнаружил исследователь в области безопасности Педро Вилака. BIOS — это код, который хранится не на диске, а во флеш-памяти компьютера, и им был найден способ его перепрошить. Это означает, что атакованный компьютер остается под контролем злоумышленника, даже если его владелец переустановит операционную систему или сменит жесткий диск.

Исследователь атаковал компьютер при помощи известной уязвимости, которая позволяет перепрошить BIOS при наличии физического доступа к машине, с помощью подключения устройства через Thunderbolt. Он предполагает, что АНБ использует этот метод для наблюдения за конкретными машинами.

Однако новость заключается в том, что, по результатам экспериментов Педро Вилака, физический доступ не требуется для атаки компьютеров Mac, выпускавшихся до середины 2014 года. Вредоносный код может быть установлен при помощи известных дыр в Safari, например.

Обычно BIOS настроен только для чтения, что исключает возможность внесения каких-либо изменений. Однако в результате исследования было обнаружено, что защита по неизвестным причинам снимается, когда компьютер выходит их спящего режима. В этот момент он становится уязвим для атаки.

По всей видимости, проблема была решена в компьютерах Mac, выпущенных начиная с середины 2014 года, однако более старые компьютеры не получили обновления и остаются уязвимыми. Педро Вилака предполагает, что уязвимость скорее может быть использована для атаки конкретных лиц, однако массовое использование возможно.

Единственный метод сегодня обезопасить свой Mac, выпущенный до середины 2014 года, — это не давать ему засыпать.