Mac-datorer sårbara för EFI-attacker

Mac-datorer sårbara för EFI-attacker

En genomgång av 73 000 Mac-datorer visar att 4.2 procent av dem inte använder uppdaterad EFI-mjukvara och därmed skulle kunna vara sårbara för attacker. När det gäller vissa modeller så visa undersökningen att 43 procent av datorerna var sårbara.

Extensible Firmware Interface, EFI är den mjukvara som styr din dator. Det är den mjukvara som startar först i din Mac och som kontrollerar hårdvaran, startar den, och som sedan ser till att macOS startas.

Det är en viktig, fundamental del av din dator och om den komprometteras (ändras) så är det oerhört svårt att återställa datorn och det är svårt att upptäcka. Teoretiskt så skulle en ändring i EFI kunna öppna upp en dator för obehöriga och alltså kunna fungera som en bakdörr in i ett system.

Ovanligt

Innan vi nu rusar iväg och varnar om spöken mitt på ljusan dag så finns det några viktiga detaljer som talar mot att du som vanlig användare kan eller kommer att drabbas.

. det krävs fysisk access
. EFI-attacker är mycket ovanliga

Någon måste kommer åt din dator för att installera den manipulerade EFI-mjukvaran. Företaget som gjort undersökningen, Duo Labs, skriver själva i sin rapport att detta knappast är sannolikt för en vanlig användare. EFI-attacker är svåra att genomföra och de siktar in sig på en viss person eller ett visst företag. Är du chef inom försvarsindustrin så är Duo Labs rapport ett varningstecken och använder ni Mac-datorer så bör ni kolla upp dem, eller rättare sagt – det här borde ni redan ha koll på.

Annan version

Det Duo Labs har gått igenom och kontrollerat är vilken version av EFI som suttit i de undersökta datorerna och det visar sig att det inte är de uppdaterade versionerna. Det innebär inte att det är manipulerade EFI-versioner utan att datorernas EFI inte har uppdaterats sedan de lämnade Apple en gång i tiden.

On average, 4.2 percent of the Macs analyzed ran EFI versions that were different from what was prescribed by the hardware model and OS version. 47 Mac models remained vulnerable to the original Thunderstrike and 31 remained vulnerable to Thunderstrike 2. At least 16 models received no EFI updates at all. EFI updates for other models were inconsistently successful, with the 21.5-inch iMac released in late 2015 topping the list, with 43 percent of those sampled running the wrong version.

En förklaring är att EFI-uppdateringar skickades ut separat av Apple fram till och med 2015. Det finns också Mac-modeller som aldrig har uppdaterats.

Risk

Så hur stor är då risken för dig vanlig Mac-användare?

Liten eller till och med mycket liten vilket inte är detsamma som att detta inte är ett högst påtagligt säkerhetsproblem. Duo Labs skriver att det inte är sannolikt att du skulle utgöra en måltavla för en attack och att det idag inte finns några rapporter om att manipulerad EFI använts i attacker eller att det finns malware som försöker exploatera EFI

Most everyday home users fall well outside of this attack model, and thankfully, as far as we are aware, there are not any EFI exploits that are being used as part of commodity exploit kits, malware, or ransomware that has been detected in the wild.

Det är ett trots det ett problem därför att om någon installerat ändrad EFI så är det som sagt svårt att upptäcka och mycket svårt att återställa. Dessutom skulle denne, en obehörig, kunna skaffa sig full kontroll över en dator och därigenom resten av systemet.

High Sierra

Apple har inkluderat ett kontrollprogram i den senaste versionen av macOS som kontrollerar din EFI-version. Det är en enkel kontroll så att din dator inte använder någon annan EFI-version än den som kommer från Apple. Sedan 2015 så distribueras också EFI-uppdateringar tillsammans med uppdateringar av macOS just för att användaren inte ska hoppa över EFI-uppdateringen.

Duo Labs kommer att släppa ett litet testprogram som du kan använda för att kolla din EFI-version din Mac använder. Du kommer att kunna ladda ned det här.

Så vad gör du om du inte kan uppdatera till High Sierra och din Mac använder en gamla EFI-version?

If you can patch and get your EFI firmware into a more secure state, we absolutely encourage you to do so, but if that is not possible, then continuing to use your current system will, in all likelihood, not result in a severe increase in risk due to the very nature of EFI attacks themselves.

Kort sagt, du löper ingen stor risk av att drabbas av någonting. Däremot så kanske det är dags att fundera över att byta upp dig och skaffa en ny dator, för detta är ett problem med äldre Mac-datorer, men i så fall inte uteslutande över ett problem med EFI. Kan din dator inte uppdateras till High Sierra så innebär det att den är inne på slutet av sin tekniska livstid och den kommer inte att kunna använda uppdaterad mjukvara, macOS och program, i framtiden. Apple tillhör de leverantörer som erbjuder säkerhetsuppdateringar för flera äldre versioner av macOS men inte för hur gamla versioner som helst.