Crean malware para atacar firmware en Mac

malware_mac_os_x
Ninguna macBook queda exenta de ser atacada desde su firmware.

Por lo general mucha gente aún cree que las computadoras de Apple son a prueba de ataques, virus y malware cuando no es así.  Lo cierto es que son más atacados los equipos que corren Windows, pero las Mac no son invencibles ni más seguras, sobre todo cuando se trata del firmware, tal como lo ha demostrado la creación de un malware para atacarlas.

Los investigadores Kovah, de LegbaCore y Trammel Hudson, de Two Sigma Investments encontraron que existen varias vulnerabilidades, algunas ya conocidas, que lo afectan. Lo curioso es que parte de esas son las mismas que han ocasionado problemas con Windows. Para tener prueba de esto, crearon un gusano para atacar al firmware de Mac, el cual contagio una por una a varias MacBooks, sin necesidad de que se use la red.

Este gusano llamado Thunderstrike 2, es difícil de detectar, de eliminar y hace casi imposible proteger a los equipos. El ataque se puede producir en segundos de forma remota, lo que impediría la detección hecha con escáners de seguridad, saltándose incluso las actualizaciones lanzadas para el sistema operativo y el firmware, para impedir la instalación del mismo o sobre escribirlo.

Desgraciadamente la única forma de poder eliminarlo sería flahseando al chip del equipo. Esto ocurre porque los programadores no lo  firman critográficamente al integrarlo en sus sistemas o en las actualizaciones, ni incluyen alguna forma de autentificación que prevenga y legitima la firma al momento de ser instalado. Como opera a un nivel por debajo de donde los antivirus y cualquier otro producto de seguridad, se pasa por alto y no se evalúa, además de que  la gente por lo general de forma manual no lo examina ya que no hay una forma fácil de hacerlo.

Probando las vulnerabilidades de las MacBook

Estos investigadores  encontraron varias vulnerabilidades que afectan el firmware de marcas como Dell, Lenovo, Samsung y HP y aunque las marcas mejoraron su protección para evitar el acceso al mismo, los investigadores pudieron reflashear e implantar de nuevo el código malicioso. El mismo malware ahora lo usaron en el firmware de las computadoras de Apple con idénticos resultados.

De las seis vulnerabilidades detectadas, cinco de las que afectan a Windows afectan a Mac, debido a que los programadores usan el mismo código para el firmware. Lo triste del caso es que Apple pudo haber protegido a los equipos de ser atacados, pero no lo hizo del todo, ya que de las cinco, una ya está parchada, otra lo está parcialmente pero aún quedan tres sin cambios.

Aunque no es el primer caso de gusanos que atacan a Mac, esta vez no se usaron ruteadores de oficina caseros ni programas Linux infectados en los mismos. El gusano puede llegar por medio por un correo de tipo phishing o un sitio malicioso, en donde buscaría a un puerto periférico que se conecte a la computadora como Thunderbolt para poder infectar el firmware y así contagiar a otro equipo que use el mismo adaptador, para poderle enviar el programa, el cual escribirá el código maligno. Cuando el mismo periférico sea usado en otro equipo conectado a la misma, se reinicia el proceso.

Lo atemorizante de esto es que alguien con malas intensiones podría vender adaptadores Ethernet, disco externos infectados entre otros y contagiar a los equipos. Por ahora la única recomendación que se puede hacer es cuidar los contenidos por descargar  en correos y sitios web y no usar el mismo cables para diferentes computadoras aunque es prácticamente imposible evitar los ataques de forma inalambrica.

A largo plazo los investigadores piensan lanzar algunas herramientas que permitan revisar el estado del firmware mas no podrían limpiarlo en caso de detectar cambios, que indiquen un posible ataque. De hecho, ellos creen que es posible evitar los ataques de hackers de  bajo nivel, pero no los de gente experta que pueden robar las llaves del código de los fabricantes para meterles su malware y saltarse las protecciones.

Desgraciadamente, los fabricantes pueden evitar los ataques, pero debido a que para hacerlo se requiere cambiar la arquitectura de los sistemas, no lo hacen, además de que saben que no es una característica que los usuarios estén exigiendo, por lo que serán los usuarios quienes tengamos que pedir Apple y a cualquier empresa, que firmen criptográficamente el firmware y le agreguen un método de autentificación, aunque los resultados no los veamos a corto plazo.

Con información de Wired.

Salir de la versión móvil