Un experto de seguridad desvela una forma de infectar un Mac a través del puerto Thunderbolt

Durante la Chaos Communication Conference celebrada en Hamburgo durante esta semana, un experto de seguridad ha desvelado un método para infectar un Mac gracias a la conexión Thunderbolt. Un dispositivo creado específicamente para conectarse a este tipo de puertos, sería capaz de infectar los ordenadores de Apple, haciendo casi imposible su eliminación a través de la inyección de un bootkit en la ROM de arranque EFI.

La vulnerabilidad del puerto Thunderbolt fue descubierta en el año 2012 y aún no ha sido resuelta por Apple. Trammel Hudson, su descubridor, habló ayer en la conferencia para demostrar el método que había utilizado para la infección. El código malicioso, bautizado como Thunderstrike, es capaz de lo siguiente:

Una vulnerabilidad que permite la instalación de modificaciones de firmware que permanecen en la ROM de arranque EFI de los populares MacBooks de Apple. El bootkit puede ser fácilmente instalado a través de un dispositivo infectado por vía del puerto Thunderbolt y sobrevivir a la reinstalación de OS X, así como de la sustitución del disco duro. Una vez instalado, puede evitar intentos para borrarlo y expandirse viralmente a lo largo de air-gaps [redes no conectadas a internet] infectando dispositivos Thunderbolt adicionales.

Es decir, una vez infectado un ordenador de Apple a través de este método, es prácticamente imposible eliminarlo. Ni una reinstalación del sistema operativo ni un disco duro "sano" serán capaces de solucionar el problema. Tampoco sería posible arreglar el problema a través de una actualización del firmware por parte de Apple, pues Thunderstrike es capaz de bloquear estas actualizaciones.

Más detalles sobre la vulnerabilidad

Hudson es especialista en realizar ingeniería inversa. En el video colgado en la web de la conferencia, su charla se divide en tres partes:

1. Ingeniería inversa de ROM de arranque EFI.
2. Desarrollo de la vulnerabilidad Thunderstrike.
3. Estrategias de mitigación.

Es en este último punto donde detalla la solución propuesta por Apple, a la que Hudson le encuentra algunos "peros" (ver captura superior). Hudson comentó que está en contacto con Apple para arreglar el problema y que los nuevos iMac y Mac mini lo solucionan ya de serie. Según él, no tiene conocimiento de que exista ningún bootkit real en la actualidad que utilice este sistema. Thunderstrike es simplemente una prueba de concepto para demostrar lo que es posible hacer con ella.

Esta conexión de alta velocidad fue inaugurada en la renovación de los MacBook Pro de principios de 2011. La tecnología ha sido desarrollada de manera conjunta entre Intel y Apple:

[Se trata de] el nombre comercial de la tecnología Light Peak desarrollada por Intel y puesta en el mercado con la colaboración técnica de Apple que combina el puerto Mini DisplayPort con una conexión PCI Express.

Desde su lanzamiento hace casi cuatro años, todas las gamas de ordenadores de Apple fueron incorporando esta conexión progresivamente. El único lado bueno de esta noticia es que hace falta acceso físico al ordenador para poder ser infectado, aunque una vez conseguido es más fácil que se propague a otros equipos que compartan el mismo conector Thunderbolt.

Gracias a todos los que nos habéis avisado con esta noticia.

Más información | Web de Trummel Hudson.

Vía | 9to5Mac.

En Applesfera | ¿USB o Thunderbolt? Comparamos el precio del almacenamiento de alto rendimiento a las puertas de 2015.