¿Una vulnerabilidad en el software de los ordenadores Apple?
Un investigador sostiene que existe una vulnerabilidad del tipo 'día cero' en el firmware de ordenadores antiguos de Apple y que podría ser usado para introducir malware difícil de eliminar. Los sistemas antiguos de Apple abren el firmware después de entrar en suspensión.
- Apple compra Coherent Navigation para mejorar su tecnología de mapas
- La seguridad del servicio iCloud, reforzada por Apple
- Los dispositivos Apple dominan en la empresa, pero Android y Windows ganan terreno
- Apple compra Metaio por su tecnología de realidad aumentada
- Apple presenta resultados récord con 61,2 millones de iPhone 6 vendidos
Según Pedro Vilaca, que estudia seguridad de los Mac, sostiene desde su blog que el fallo que ha descubierto se basa en otros anteriores, pero este podría ser mucho más peligroso. No se ha podido contactar con portavoces de Apple para que comenten este problema.
Vilacadescubrió que era posible meterse en el UEFI (unified extensible firmware interface) de un ordenador de Apple. El UEFI es un firmware diseñado para mejorar el BIOS, y está normalmente cerrado al usuario. Pero Vilaca sostiene que el código se queda abierto después que el ordenador entra en suspensión y despierta, permitiendo que sea modificado. Los ordenadores Apple fabricados antes de mediados de 2014 parecen ser vulnerables.
Además, es posible entonces instalar un “rootkit”, un tipo de malware que es difícil de quitar y que es prácticamente indetectable por los productos de seguridad. La única defensa es no dejar que el ordenador entre en suspensión y apagarlo siempre, según el investigador.
Apple lanzó parches a principios de este año para un tipo similar de ataque denominado “Thunderstrike”, que permitía modificar el UEFI accediendo al interface Thunderbolt del Mac. Thunderstrike fue presentado por el investigador Trammell Hudson en el Chaos Communication Congress de Hamburgo el pasado diciembre.
Pero Thunderstrike requería que un atacante tuviera un acceso físico al ordenador. Vilaca cree que puede ser posible explotar de forma remota el fallo que ha encontrado, haciéndolo potencialmente mucho más peligroso.
Probó el ataque en un ordenador MacBook Pro Retina, un MacBook Pro 8.2 y un MacBook Air, todos con el último firmware disponible. Las máquinas más modernas, no obstante, no eran vulnerables, por lo que Vilaca sospecha que Apple corrigió el problema en los últimos modelos, pero que no parcheó los ordenadores más antiguos.
Parece que Vilaca no notificó a Apple antes de informar del fallo, algo que pone a muchas compañías de los nervios. Muchas compañías piden que los investigadores independientes les informen a ellos de los fallos antes de hacerlos públicos, de forma que los atacantes no puedan sacar ventaja de los problemas de software antes de que haya un parche disponible. Sin embargo, ha escrito que “su objetivo es hacer OS X mucho mejor y más seguro”.
Vilaca no es el único investigador que está estudiando el firmware de Apple. Hudson, que descubrió el fallo Trunderstrike, va a dar una charla con Xeno Kovah y Corey Kallenberg en la conferencia de seguridad Defcon en agosto. La presentación demostrará que los ordenadores de Apple son vulnerables a muchos ataques de firmware que afectan a los PCs, según una descripción de la charla que aparece en la web de la conferencia.
