Una de las características por las que los usuarios de ordenadores Apple los eligen, es por su seguridad. Si bien es cierto que reciben muchos menos ataques que sus homónimos con Windows (lógico si tenemos en cuenta la base de usuarios en los que está instalado el sistema operativo de Microsoft), tampoco pueden considerarse invulnerables, tal y como ya se ha demostrado en el pasado.
Vulnerabilidad en el firmware y explotación
El fallo de seguridad descubierto por el investigador Pedro Vilaça en algunos MacBooks reside en la UEFI (o EFI en los Mac), el sistema que empezó a utilizarse hace unos años como sustituto de la BIOS. Al parecer, cuando un MacBook se pone en estado de suspensión y luego se vuelve a activar, el firmware de la máquina no se bloquea, permitiendo escribir sobre sobre la UEFI y obtener el control del portátil mediante la instalación de un rootkit.
Este ataque es similar al conocido como Thunderstrike, presentado por Trammel Hudson a finales de 2014 durante la conferencia Chaos Communication Congress. Thunderstrike permite instalar un bootkit en un Mac utilizando un puerto Thunderbolt, obteniendo además persistencia en la máquina aunque se reinstale el sistema operativo.
El problema de este tipo de infecciones es que, al ejecutarse en el arranque de la máquina, no se carga ningún sistema que pueda detectarlas, obteniendo el control del sistema desde el momento en que se inicia. Estas capacidades, junto a la ya mencionada persistencia aunque se reinstale el sistema o cambie el disco duro, hacen de estas amenazas algo difícil de combatir.
El navegador como vector de ataque
Una de las características que hacen más peligrosa esta vulnerabilidad con respecto a Thunderstrike es la capacidad de ejecutarla remotamente. Mientras Thunderstrike requiere de acceso físico a la máquina, esta nueva vulnerabilidad permitiría utilizar un navegador como Safari para instalar remotamente el rootkit EFI.
El único requisito que parece indispensable para aprovechar esta vulnerabilidad es que el Mac haya entrado en estado de suspensión alrededor de 30 segundos durante la sesión que se quiere atacar. El propio investigador comenta que, a pesar de no haber investigado este punto, cree que sería posible forzar esta suspensión de sistema remotamente.
Respuesta por parte de Apple
A pesar de que Apple aún no se ha pronunciado al respecto de esta vulnerabilidad, el investigador cree que son conscientes de ella, ya que no parece estar presente en aquellos portátiles vendidos a partir de la segunda mitad de 2014. Los modelos que se verían afectados serían todos aquellos Macbook Pro y MacBook Air anteriores a esa fecha.
Este silencio por parte de Apple e incluso el hecho de que los nuevos modelos de portátiles no sufran esta vulnerabilidad podría ser un intento de la empresa para solucionar el problema sin sacarlo a la luz. Aunque este modelo de seguridad por oscuridad ha demostrado no ser efectivo, aún son muchas las empresas que lo practican, dejando vulnerables a sus usuarios al no informarlos de los riesgos que corren.