Mac: EFI-Lücke erlaubt offenbar Firmware-Modifikation
Eine EFI-Schwachstelle ermöglicht es einem Angreifer, die Firmware älterer Macs zu manipulieren, wie ein Sicherheitsforscher berichtet – physischer Zugriff sei dafür nicht erforderlich.
(Bild: dpa, Monica M. Davey)
Die Firmware bestimmter Macs lässt sich nach Angabe des Sicherheitsforschers Pedro Vilaca leicht modifizieren – über diese Lücke sei beispielsweise das Einschleusen eines EFI-Rootkits möglich. Apples Implementierung des Ruhezustandes (ACPI-Modus S3) sei "derart kaputt", dass sich die Firmware nach dem Aufwecken des Macs verändern lasse, erklärt Vilaca – das Ergebnis sei ähnlich wie bei der Angriffsmethode "Thunderstrike", die allerdings einen Thunderbolt-Anschluss erfordert.
Eigentlich sind die Flash-Speicherbereiche, in denen die für den Boot-Prozess verantwortlichen EFI-Funktionen residieren, gegen Beschreiben geschützt. Allerdings verschwindet diese Schreibsperre anscheinend, wenn das System einmal in den Ruhezustand gebracht und dann wieder aufgeweckt werde. Im Unterschied zum Thunderstrike-Trick lasse sich die Firmware mit dieser Methode somit ganz ohne physischen Zugriff verändern, betont Vilaca. Ein einmal eingeschleuster Schädling müsse den Mac nur einmal in den Ruhezustand bringen und könne die Manipulation dann nach dem Aufwecken vornehmen. Damit sei die Installation eines EFI-Rootkits prinzipiell auch aus der Ferne möglich – er habe dies allerdings noch nicht überprüft, so der Sicherheitsforscher.
Betroffene Modelle
Laut Vilaca sind Macs ab Modellreihe Mitte/Ende 2014 nicht mehr anfällig: Apple habe die Firmware-Schwachstelle entweder durch Zufall behoben oder sei sich des Problems längst bewusst. Er habe die EFI-Schwachstelle jedenfalls auf einem 2011er MacBook Pro sowie einem nicht näher spezifizierten Retina-MacBook-Pro und MacBook Air erfolgreich getestet – vermutlich Modelle aus dem Jahr 2012 oder 2013.
Um sich zu schützen, sollte man den Mac niemals schlafen schicken und stets herunterfahren, merkt der Sicherheitsexperte an. Der einzige vollumfängliche Fix sei aber ein Firmware-Update durch Apple – Nutzer sollten die Aktualisierung von dem Konzern schriftlich einfordern. Apple reagiere bei Sicherheitsproblemen erst, wenn der Konzern in eine Ecke gedrängt wurde, merkt Vilaca an – es sei eine "schlechte Strategie", für ältere Versionen keine Sicherheits-Updates mehr anzubieten. (lbe)
