Apple patcht EFI-Firmware unzureichend
Laut einer Studie ist ein Drittel bis fast die Hälfte mancher Mac-Baureihen mit der falschen Firmware-Version ausgestattet, was Hackern Tür und Tor öffnet. Doch das Problem ist weit größer und längst nicht nur auf Apple beschränkt.
Laut einer Untersuchung zum Stand der Sicherheits-Updates der Firmware von Macs, die auf der Sicherheitskonferenz Ekoparty vorgestellt wurde, ist auf vielen Macs die falsche oder eine veraltete EFI-Version installiert. Das ist ein Problem, denn Fehler in der Firmware können es Hackern erlauben, das ganze System zu übernehmen. Besonders kritisch: Dass die Firmware nicht auf dem neusten Stand ist, bekommen selbst aufmerksame Nutzer kaum mit, denn bei einem fehlgeschlagenen oder ausbleibenden Update gibt macOS keine Warnung aus, berichten die Sicherheitsforscher.
Die Forscher des Sicherheitsunternehmens Duo haben für ihre Studie 73.000 Apple-Rechner ihrer Kunden analysiert. Für die Auswertung konzentrierten sie sich allerdings nur auf die 54.000 jüngsten Geräte, die Apple noch mit Firmware-Updates passend zu den darauf laufenden macOS-Systemversionen versorgen sollte.
Davon hatten 4,2 Prozent eine falsche EFI-Version installiert. Laut den Forschern deutet das darauf hin, dass beim Aktualisieren des Betriebssystems das Update der Firmware fehlgeschlagen sein muss. Brisant: Bei einigen Modellreihen war es um die Aktualität der EFI-Installationen weit weniger gut bestellt. So fanden die Sicherheitsforscher bei 43 Prozent aller untersuchten iMacs aus dem Jahre 2015 fehlgeschlagene EFI-Updates. Bei drei MacBook-Pro-Modellreihen war rund ein Drittel der Firmware nicht auf dem richtigen Stand.
Unbemerkte Update-Fehler
Den Grund für die fehlerhaften Updates konnten die Duo-Experten indes nicht ermitteln. "Wir wissen nicht, weshalb die EFI-Updates nicht ausgeführt werden, wir wissen aber, dass das oft nicht passiert." Sie vermuten, dass der Grund in der Komplexität von Firmware-Installationen zu suchen sei. Da im Unterschied zu Betriebssystem-Updates aber keine Fehlermeldungen ausgeben werden, bleiben Fehlschläge meist unbemerkt.
Die Experten können auch nicht sagen, in wie vielen Fällen die ausbleibenden oder fehlgeschlagenen Firmware-Updates kritische Sicherheitslücken offen lassen. Untersucht wurde lediglich, ob und wie Apple vier bekannte EFI-Hacking-Methoden gepatcht hatte. Dabei fanden sie heraus, dass der Computerhersteller für zahlreiche ältere Geräte erst gar keine Sicherheitspatches entwickelt hat. So fanden sie etwa 47 Modelle, die keinen Fix für die Thunderstrike-Attacke erhalten hatten. Die erlaubt es Hackern, per Thunderbolt-Schnittstelle Zugang zu einem Mac zu erlangen, sofern physischer Zugriff darauf besteht. Auf 31 der untersuchten Geräte fehlten Patches gegen Thunderstrike-2-Angriffe, die sich auch aus der Ferne durchführen lassen. Mit dem Tool EFIgy, das die Forscher auf der Duo-Website zur Verfügung stellen, kann man die Firmware seines Macs auf Sicherheitslücken überprüfen.
Ein allgemeines Problem
Die Sicherheitsforscher haben sich für die Untersuchung Apple-Geräte vorgenommen, weil sie sich nicht in der Lage sahen, die EFI-Zustände der stärker fragmentierten Windows- und Linux-Plattformen mit Rechner vieler verschiedener Hersteller zu analysieren. Jeder einzelne Rechner erfordere eine separate Untersuchung. Sie spekulieren daher, dass der Zustand der Firmware anderer Plattformen weit dramatischer sei als der von Apple-Computern, da PC-Nutzer häufig dazu aufgefordert würden, ihr Betriebssystem unabhängig von der Firmware zu aktualisieren. Apple spielt neue EFI-Versionen in der Regel zusammen mit Systemupdates auf. Das erst kürzlich veröffentlichte macOS High Sierra prüft sogar wöchtentlich automatisch die Mac-Firmware und warnt den Anwender, wenn diese manipuliert wurde. (jra)