New exploit leaves most Macs vulnerable to permanent backdooring

Pedro Vilaca นักวิจัยความปลอดภัยค้นพบช่องโหว่บน Mac โดยช่องโหว่นี้สามารถ reflash ตัว BIOS และฝังโค้ดอันตรายเข้าไป โดยหากใช้วิธีนี้ โค้ดนี้จะฝังอยู่ใน flash memory ไม่ใช่ฮาร์ดดิสก์ ฉะนั้น แม้จะลง OS X ใหม่, ฟอร์แมต หรือเปลี่ยนฮาร์ดดิสก์ก็ไม่สามารถลบโค้ดดังกล่าวออกได้

ปกติ BIOS จะถูกตั้งค่าให้อ่านอย่างเดียวเพื่อป้องกันไม่ให้เปลี่ยนแปลงค่า แต่ Vilaca พบว่าช่วงที่ Mac ออกจากโหมด sleep การป้องกัน BIOS ที่เรียกว่า FLOCKDN จะถูกปิดชั่วคราว ทำให้สามารถ reflash ตัว BIOS ได้ และสามารถจัดการกับ EFI ซึ่งเป็นส่วนที่ควบคุมก่อนที่ OS X จะบู๊ตขึ้นมาได้ด้วย การติดตั้งโปรแกรมที่เป็นอันตรายสามารถทำผ่าน Safari เพื่อติดตั้ง EFI rootkit ได้โดยไม่ต้องเข้าถึงฮาร์ดแวร์ของเครื่อง พอเครื่องเข้าสู่โหมด sleep และถูกเปิดขึ้นมาอีกรอบ ก็ใช้ช่องโหว่เพื่อทำการ reflash ตัว BIOS ได้ทันที นักวิจัยพบว่า Mac รุ่นหลังจากกลางปี 2014 จะไม่พบปัญหานี้แล้ว แต่ Mac รุ่นเก่าที่มีช่องโหว่นี้ยังไม่มีอัพเดตอุดช่องโหว่แต่อย่างใด

ทางนักวิจัยให้คำแนะนำว่าอย่าให้ Mac เข้าสู่โหมด sleep จนกว่า Apple จะออกอัพเดตอุดช่องโหว่นี้ ส่วนผู้ใช้งานระดับสูง สามารถดาวน์โหลดซอฟต์แวร์ Thunderstrike ซึ่งจะทำการ dump ข้อมูลทั้งหมดของ BIOS บน Mac และนำมาตรวจสอบกับเฟิร์มแวร์ต้นฉบับของ Apple ว่าตรงกันหรือไม่ ตัวโปรแกรมนี้ไม่สามารถป้องกันการโจมตีได้ แต่สามารถตรวจสอบได้ นอกจากนี้ ถ้าพบโปรแกรมที่น่าสงสัยอย่าใส่รหัสผ่านให้เด็ดขาด เพราะหากใส่รหัสผ่านให้แล้วแอพสามารถสั่งให้ Mac สามารถเข้าสู่โหมด sleep ได้

ที่มา: ars technica