Comment l'utilisateur moyen peut-il facilement valider l'intégrité du micrologiciel de son Mac ?
Avant de rejeter cette question ou de me dire que je suis paranoïaque et que personne ne devrait jamais avoir besoin de faire cela, lisez ce qui suit.
En juillet 2015, CVE-2015-3692 a révélé que le micrologiciel EFI d'un Mac pouvait être piraté par un attaquant distant. (Les vecteurs disponibles pour cela se trouvent dans d'autres CVE, mais pourraient hypothétiquement être n'importe quoi, y compris des choses comme de faux installateurs de mise à jour Flash malveillants).
Cette vulnérabilité a été rendue publique au moins quatre semaines avant qu'Apple ne la corrige le 30 juillet pour les versions 10.8, 10.9 et 10.10 d'OS X. Mise à jour de sécurité 2015-001 du micrologiciel EFI .
Le même chercheur en sécurité qui a annoncé cette vulnérabilité affirme également avoir assisté à la démonstration, lors d'une conférence, d'un micrologiciel qui ne peut être supprimé ou écrasé.
Par conséquent, une fois que l'EFI d'un Mac a été possédé, si l'attaquant a bien fait les choses, alors la seule façon de reflasher l'EFI avec un firmware Apple valide serait de câbler un reflasher directement sur la puce EFI de la carte logique elle-même (faire pas essayez de le faire à la maison).
Les articles de presse qui ont rapporté cette vulnérabilité l'ont minimisée, en disant que la plupart des utilisateurs ne devraient pas s'inquiéter, et que tout ce que vous devez faire pour vous protéger est de ne jamais laisser votre Mac se mettre en mode veille, et de désactiver l'utilisateur racine, ou de ne jamais authentifier quoi que ce soit dont vous n'ayez pas 100% confiance. Les commentaires sur ces articles résument la situation comme suit : si toutes vos applications proviennent de sources fiables comme l'App Store officiel, et que vous n'exécutez jamais rien qui ne soit pas signé par un développeur connu d'Apple, alors vous devrait n'ont rien à craindre.
Mais en septembre 2015, nous avons appris que l'exploit XCodeGhost Il est connu que de nombreuses applications infectées par des logiciels malveillants sont apparues sur l'App Store officiel d'iOS, mais qu'en est-il des applications OS X ? Dans l'article en question, Malwarebytes écrit :
Wardle a souligné en mars dernier que Xcode était mais, de manière effrayante, il a aussi pointé du doigt beaucoup d'autres applications d'autres applications OS X. N'importe laquelle de ces applications pourrait être vulnérable à des attaques similaires. attaques similaires.
Ils ont également écrit que "l'utilisateur moyen ne doit pas paniquer" - le même mantra que je vois souvent répété sur les forums d'assistance d'Apple et ailleurs chaque fois qu'un utilisateur publie un fil de discussion sur des tonnes de problèmes étranges qu'il rencontre. "Reformatez simplement votre disque et effectuez une installation propre du système. Le problème est probablement dû à une modification du système par un tiers", nous dit-on. Lorsque cela ne résout pas le problème, on nous dit qu'il doit s'agir d'un problème matériel, comme un disque dur défaillant, un GPU défaillant ou une mauvaise RAM. J'ai vu des fils de discussion où les gens remplaçaient littéralement tous les composants de leur Mac, et le problème revenait toujours.
Nous savons maintenant qu'il est hypothétiquement possible que le micrologiciel EFI des utilisateurs ait été piraté - donc, même si leur carte mère a été remplacée, lorsqu'ils réinstallent leurs applications, le micrologiciel pourrait être à nouveau réinitialisé par le malware ! Et si la carte mère n'a pas été remplacée, alors ils sont fichus quoi qu'il arrive.
Cela me ramène à la question principale.
Comment l'utilisateur moyen peut-il facilement valider l'intégrité du micrologiciel de son Mac ? En d'autres termes, comment pouvez-vous vérifier que le microprogramme de votre Mac n'a jamais été compromis par un logiciel malveillant ? Je n'ai pas trouvé de méthode compatible avec El Capitan qui ne nécessite pas la désactivation de SIP. Pour les versions antérieures de l'OS, il existe un outil tiers compliqué appelé DarwinDumper qui peut vider le contenu de votre EFI dans un fichier texte, mais vous devez toujours avoir le firmware Apple valide pour le comparer - ce n'est pas une méthode que l'utilisateur moyen est capable de faire.
Dire aux gens de ne pas s'inquiéter d'une chose dont ils pourraient très bien être victimes, sans avoir aucun moyen de vérifier si c'est le cas, est ce qui permet à ce genre d'exploits d'être rentables pour les pirates, qui dépendent de la complaisance et du manque de vigilance des utilisateurs.
\==
EDIT : J'ai trouvé le dernier installateur officiel du firmware d'Apple. sur le site d'assistance d'Apple . L'installateur ne fonctionne pas sous 10.10 ou 10.11, bizarrement. En utilisant Pacifist, j'ai extrait le fichier .scap pour mon Macbook Pro 9,1. J'ai comparé le binaire dans HexFiend avec le biosdump que j'ai extrait en utilisant DarwinDump après avoir redémarré en mode récupération et exécuté csrutil disable sur le terminal pour désactiver le rootless et activer la possibilité d'exécuter des kexts non signés. J'ai récupéré cet en-tête de BIOS :
$IBIOSI$ MBP91.88Z.00D3.B0B.1506081214Copyright (c) 2005-2015 Apple Inc. All rights reserved.ˆ´5µ}ñÚC¥î°Îé!¢é_i@Ÿ¯¡Apple ROM Version
BIOS ID: MBP91
Built by: root@saumon
Date: Mon Jun 8 12:14:35 PDT 2015
Revision: svn 39254 (B&I)
Buildcave ID: 6
ROM Version: 00D3_B0BLe BIOS officiel de l'en-tête d'Apple :
$IBIOSI$ MBP91.88Z.00D3.B0B.1506081214Copyright (c) 2005-2015 Apple Inc. All rights reserved.ˆ´5µ}ñÚC¥î°Îé!¢é_i@Ÿ¯¡Apple ROM Version
BIOS ID: MBP91
Built by: root@saumon
Date: Mon Jun 8 12:14:35 PDT 2015
Revision: svn 39254 (B&I)
Buildcave ID: 6
ROM Version: 00D3_B0BEn dehors de cela, les fichiers sont très différents, mais je suppose que le fichier .scap a une sorte de compression. Au moins, cela me dit que j'ai installé le dernier firmware, celui qui a été publié après l'annonce des piratages. Je suis probablement bon. Ce serait bien d'être en mesure de confirmer que je suis bon grâce à une sorte de vérification de la somme de contrôle cependant ! Je vous regarde, Apple !
