Mac-Virus

13. Januar 2015 20:50; Akt: 13.01.2015 20:50 Print

Thunderstrike – Horror für alle Mac-Benutzer

Über die Thunderbolt-Schnittstelle kann jedes beliebige Macbook gekapert werden. Einmal infiziert, lässt sich die Schadsoftware nicht mehr entfernen.

storybild

Die Schadsoftware lässt sich über den Thunderbolt-Anschluss auf die Macbooks einschleusen. (Bild: Trammell Hudson)

Zum Thema
Fehler gesehen?

Es ist eine kritische Schwachstelle, die der IT-Experte Trammell Hudson entdeckt hat. Er hat es geschafft, über eine Thunderbolt-Schnittstelle Malware auf Macbooks einzuschleusen. Diese von ihm benannte Thunderstrike-Schadsoftware nistet sich nicht auf der Festplatte des Geräts, sondern in der sogenannten Firmware, ein. Damit gelang es dem Forscher, vom Start des Rechners an die Kontrolle über das System zu erlangen und so etwa alle Tastatureingaben mitzuschneiden, oder aber auch weitere Hintertüren zu öffnen.

Laut Hudson kann Thunderstrike nicht ohne Weiteres erkannt oder gar entfernt werden. Selbst drastische Massnahmen wie die Neuinstallation des Systems oder der Austausch der Festplatte würden nichts bringen, da die schädliche Software auf dem Boot-ROM abgelegt ist. Ein infiziertes Macbook kann Thunderstrike zudem an andere Geräte weitergeben, sobald diese via Thunderbolt angeschlossen werden. Damit Angreifer die Lücke ausnutzen können, sei nur ein kurzer physikalischer Zugriff auf das Notebook nötig.

Er nennt das die «Evil Maid»-Attacke. Während man gerade beim Frühstück sitzt, werde im Hotelzimmer das Bett gemacht, die Handtücher gewechselt und nebenbei Thunderstrike installiert. Sein Proof-of-Concept ist bisher nur für OS X 10.1 konzipiert. Laut Hudson sei aber eigentlich jedes Macbook Pro/Air/Retina mit einem entsprechenden Anschluss anfällig für Thunderstrike. Apple arbeite laut dem IT-Sicherheitsforscher aber an einem Patch.

(tob)

Kommentarfunktion geschlossen
Die Kommentarfunktion für diese Story wurde automatisch deaktiviert. Der Grund ist die hohe Zahl eingehender Meinungsbeiträge zu aktuellen Themen. Uns ist wichtig, diese möglichst schnell zu sichten und freizuschalten. Wir bitten um Verständnis.

Die beliebtesten Leser-Kommentare

  • Dino IT am 13.01.2015 21:12 Report Diesen Beitrag melden

    Respekt

    Hab mir ein bisschen das Projekt-Log auf Hudsons seite durchgeschaut und es wirkt alles recht gut nachvollziehbar (mit Vorwissen ;)) Es bestätigt sich halt mal wieder die olle IT-Weisheit: Mac ist nicht "sicherer" als MSWin. Bis anhin stimmte einfach die Kosten-Nutzen Rechnung nicht für Leute, die kommerziell Schadsoftware basteln, weil der Verbreitungsgrad der Applegeräte im Businessbereich viel viel niedriger war. Im Umkerhschluss: je beliebter Apple wird, desto grösser wird auch das Interesse für "böse buben" werden.

    einklappen einklappen
  • MichaelZH am 13.01.2015 21:08 via via Mobile Report Diesen Beitrag melden

    Nicht aus den Augen lassen

    Man lässt seine wertvollen Geräte auch nicht einfach so rumliegen.

    einklappen einklappen
  • fabio am 13.01.2015 21:06 via via Mobile Report Diesen Beitrag melden

    auch apple

    es gibt halb bei allem eine schwachstelle

    einklappen einklappen

Die neusten Leser-Kommentare

  • Genialolous am 14.01.2015 18:46 via via Mobile Report Diesen Beitrag melden

    Wow ganz toll

    Na und wieviele Viren kommen über USB? 5000000? 600000? 3 Millionen?

  • flip am 14.01.2015 16:14 Report Diesen Beitrag melden

    Nicht OS X 10.1 sondern MBP 10.1

    Es ist nicht für OS X 10.1 (völlig veraltet und hat wahrscheinlich keine Thunderbolt Unterstützung) konzipiert sondern für 10.1 Hardware Version von MacBookPro (welche Hudson besitzt) :)

  • Cyangenmod User II am 14.01.2015 14:45 Report Diesen Beitrag melden

    ui - sieht echt echt übel aus...

    Thunderstrike überschreibt zudem den öffentlichen RSA-Schlüssel von Apple im ROM, wodurch sich die originale Firmware nicht ohne den privaten Schlüssel des Angreifers wiederherstellen lassen soll. Die Schwachstelle selbst ist bereits seit mindestens zwei Jahre bekannt; eine ähnliche Attacke wurde 2012 auf der Hackerkonferenz Black Hat präsentiert. Derzeit existieren keine Schutzmöglichkeiten, da selbst ein gesetztes Firmware-Passwort einen erfolgreichen Angriff nicht verhindern kann. Auch bietet Apples Firmware keine Option an, das Booten über Thunderbolt zu unterbinden.

    • Peter Vogel am 14.01.2015 18:16 Report Diesen Beitrag melden

      Apple hats verschlafen

      Die Apple Gemeinde wird das ganze einfach schönreden und herunterspielen, wobei hinzukommt, dass die meisten Leute wohl gar nicht verstehen wie gravierend diese Lücke ist. Dabei lässt sich damit so ziemlich jedes MacBook kapern.

    • Grischa am 14.01.2015 19:06 via via Mobile Report Diesen Beitrag melden

      Kein Fund in freier Wildbahn

      Toll übersetzt. Nur die wesentlichen Dinge verschwiegen. 1.Diese Attacke wurde noch nie ausgeübt. (sonst währe es auch schon gefunden worden) 2. Der Urheber gibt den Code nicht frei. 3. FileVault wird nicht umgangen. Lediglich bei eingabe des Passwortes wird mitgeschnitten. 4. Ist diese Art von Kapern bei allen IT geräte möglich.

    einklappen einklappen
  • thomas am 14.01.2015 13:51 via via Mobile Report Diesen Beitrag melden

    Apple oder Windows

    Es ist nicht das Betriebssystem relevant. Welcher Hersteller auch immer ein Gerät oder eine Software herausbringt, ist angreiflich. Das wird denke ich immer so sein. Denn die Physik lernt uns, Sicherheit haben wir nie, allwissend können wir nicht sein, 100% Sicherheit kann kein Mensch leisten. Was ich mit der Physik meine werde ich nicht weiter ausführen, da müsste ich mehrere Kommis schreiben, welche über den ganzen Kommentar Verlauf verteilt werden.

  • Edmont am 14.01.2015 12:30 via via Mobile Report Diesen Beitrag melden

    Was soll's

    Erstens muss ein Angreifer den Computer in die Hände haben. Dann auch das - hoffentlich vorhandene - Passwort des Benutzers kennen und das nicht ganz einfache Prozedere der Malware beherrschen. Zum Schluss muss er sich noch beeilen, denn das entsprechende Firmware Update von Apple ist schon unterwegs.

    • SwissMat am 14.01.2015 12:58 Report Diesen Beitrag melden

      Upsi!

      Ich denke kaum, dass dazu dass Kennwort benötigt wird. Hier gilt das Motto: touch it, own it. Nebenbei, Kennwörter haben seit längerem kein Anspruch mehr auf Sicherheit! Ich frage mich wie lange man hier noch zuschaut...

    • Peter Vogel am 14.01.2015 18:20 Report Diesen Beitrag melden

      Naiv

      @Edmont: Ihre Aussage zeigt auf wie naiv die meisten Leute sind. Ein Angreifer braucht 5-10 Sekunden um mal eben über Thunderbolt zu booten. Das Passwort nützt hier gar nichts und das Firmware Update hätte von Apple bereits vor 2 Jahren geliefert werden können.

    • flip am 14.01.2015 22:49 Report Diesen Beitrag melden

      Alles was es braucht ist

      ein infizierter Thunderbolt Adapter.

    einklappen einklappen