针对苹果电脑的ROM级恶意程序Thunderstrike

　　近日，安全研究人员发现一种让苹果电脑感染ROM级恶意程序的方法。

　　老漏洞新利用

　　这个攻击由编程专家Trammell Hudson在德国汉堡举办的年度混沌计算机大会上展现，他证明这将使重写苹果Mac计算机固件成为可能。

　　这种攻击被命名为“Thunderstrike”。它实际上利用了一个在ThunderboltOption ROM中有些历史的漏洞，该漏洞在2012年首次被发现但仍未修补。通过受感染的Thunderbolt设备在苹果电脑的boot ROM中分配一段恶意程序，Thunderstrike 将可以感染苹果可扩展固件接口（EFI）。

　　恶意程序无法删除

　　根据该研究人员所说，这种攻击非常危险，因为恶意程序实际上是存在于系统独立的ROM中，故还没有方法让用户去检测到这种攻击或者是删除它，即使是完全重装OS X系统也无法删除。

　　“鉴于boot ROM独立于操作系统，因此重装OSX系统也无法删掉该恶意程序。此外，由于它也不需要存储在磁盘上，所以即使更换硬盘也无法解决。唯一的解决方案是重新刷入安全的固件才可以恢复。”

　　Hudson还表示他可以用一个新的密钥来替换苹果自己的密钥，这将导致电脑拒绝接受合法的固件升级。

　　“在系统启动的时候，既没有硬件也没有软件方式的针对固件有效性的密码检测，所以一旦恶意程序被刷进了ROM中，它将从第一条指令开始就控制了整个系统”

　　除了编写自定义代码到boot ROM中，Hudson的演讲中还指出一个方法，该方法使得bootkit可以自我复制到任何附加的Thunderbolt设备中，使它具有甚至通过网络传播的能力。

　　目前苹果公司已经在最新的Mac mini和5K视网膜显示屏的iMac上修补了部分漏洞。