Un malware che rende vulnerabili i computer Apple anche non connessi a una rete: è quanto mostrerà Black Hat, in una conferenza che si terrà questa settimana. La nuova ricerca mette in luce le debolezze nel software che viene eseguito su ogni computer prima di caricare un sistema operativo.

I ricercatori Xeno Kovah e Corey Kallenberg di LegbaCore e Trammell Hudson di Two Sigma Investments hanno mostrato all’inizio di quest’anno come potrebbero infettare il firmware di un Mac con il malware collegando dispositivi malevoli tramite Thunderbolt, l’interfaccia di trasferimento dati ad alta velocità di Apple. L’attacco è stato soprannominato Thunderstrike.

Giovedì i ricercatori sveleranno Thunderstrike 2, un attacco che migliora il precedente dal momento che può diffondersi ad altri computer attraverso le periferiche rimovibili.

Il loro attacco utilizza diverse vulnerabilità nel firmware utilizzato da Apple. L’azienda ha risolto alcune falle nel mese di giugno, ma altre rimangono, ha scritto Hudson sul suo blog.

In teoria, il firmware non potrebbe essere modificato o riscritto. Il malware che si trova all’interno del firmware è particolarmente pericoloso, in quanto i prodotti di sicurezza non verificano l’integrità del firmware, e gli utenti non possono sapere che è stato alterato.

Come spiegato nell’anteprima video di due minuti postata dai ricercatori su YouTube, l’attacco Thunderstrike 2 riesce ad entrare nel kernel del computer e da qui accedere alla memoria.

In alcuni casi, il codice di attacco può immediatamente sbloccare e riscrivere il firmware di avvio. In altri casi può trarre vantaggio da una falla di sicurezza quando un computer viene messo in modalità sleep e poi riavviato, un problema già segnalato da un altro ricercatore.

L’attacco può essere usato per raggiungere i computer che sono stati intenzionalmente isolati per motivi di sicurezza. Per esempio, un Mac potrebbe essere infettato tramite un attacco via Web. Poi, il codice di Thunderstrike 2 potrebbe infettare una periferica Thunderbolt.