วันที่: 03/06/2015 | หมวด: Apple, Featured, macOS, News | แท็ก: , , , , , ,

bios

นักวิจัยความปลอดภัยได้ค้นพบช่องโหว่บน Mac ที่อายุเกิน 1 ปี โดยช่องโหว่นี้อนุญาตให้ผู้ไม่ประสงค์ดีควบคุมเครื่องได้ แม้จะติดตั้ง OS X ใหม่หรือฟอร์แมตฮาร์ดดิสก์ก็ไม่ช่วยอะไร

Pedro Vilaca นักวิจัยความปลอดภัยซึ่งเป็นผู้ค้นพบช่องโหว่นี้กล่าวว่า ช่องโหว่นี้สามารถ reflash ตัว BIOS และฝังโค้ดที่ไม่พึงประสงค์เข้าไป โดยหากใช้วิธีนี้ โค้ดนี้จะฝังอยู่ใน flash memory ไม่ใช่ฮาร์ดดิสก์ ฉะนั้น แม้จะลง OS X ใหม่, ฟอร์แมต หรือเปลี่ยนฮาร์ดดิสก์ก็ไม่ช่วยอะไร

ปกติ BIOS จะถูกตั้งค่าให้อ่านอย่างเดียวเพื่อป้องกันไม่ให้เปลี่ยนแปลงค่า แต่ Vilaca พบว่าช่วงที่ Mac ออกจากโหมด sleep การป้องกัน BIOS ที่เรียกว่า FLOCKDN จะถูกปิดชั่วคราว ทำให้สามารถ reflash ตัว BIOS ได้ และสามารถจัดการกับ EFI ซึ่งเป็นส่วนที่ควบคุมก่อนที่ OS X จะบู๊ตขึ้นมาได้ด้วย

การติดตั้งโปรแกรมประสงค์ร้าย สามารถทำผ่าน Safari เพื่อติดตั้ง EFI rootkit ได้โดยไม่ต้องเข้าถึงฮาร์ดแวร์ของเครื่อง พอเครื่องเข้าสู่โหมด sleep และถูกเปิดขึ้นมาอีกรอบ ก็ใช้ช่องโหว่เพื่อทำการ reflash ตัว BIOS ได้ทันที

นักวิจัยพบว่า Mac รุ่นหลังจาก mid 2014 จะไม่พบปัญหานี้แล้ว แต่ Mac รุ่นเก่าที่มีช่องโหว่นี้ยังไม่มีอัพเดตอุดช่องโหว่แต่อย่างใด

ทางนักวิจัยให้คำแนะนำว่าอย่าให้ Mac เข้าสู่โหมด sleep จนกว่า Apple จะออกอัพเดตอุดช่องโหว่นี้ ส่วนผู้ใช้งานระดับสูง สามารถดาวน์โหลดซอฟต์แวร์ Thunderstrike ซึ่งจะทำการ dump ข้อมูลทั้งหมดของ BIOS บน Mac และนำมาตรวจสอบกับเฟิร์มแวร์ต้นตำรับของ Apple ว่าตรงกันหรือไม่ ตัวโปรแกรมนี้ไม่สามารถป้องกันการโจมตีได้ แต่สามารถตรวจสอบได้

นอกจากนี้ ถ้าพบโปรแกรมที่น่าสงสัยอย่าใส่รหัสผ่านให้เด็ดขาด เพราะหากใส่รหัสผ่านให้แล้วแอพสามารถสั่งให้ Mac เข้าสู่โหมด sleep ได้

ที่มา – Ars Technica9to5MacReverse Engineering Mac OS X Blog

About nutmos

สนใจ Apple ชอบ Apple รัก Apple
Blog : nutmos.com
Social Media : Twitter

Leave a Reply