В рамках хакерской конференции Chaos Computer Congress в Гамбурге разработчик Трэммелл Хадсон продемонстрировал уязвимость компьютеров Mac, позволяющую переписать прошивку ROM через интерфейс Thunderbolt. Буткит был загружен на компьютер с помощью модификации Thunderbolt Option ROM, обойдя проверку криптографической подписи в расширяемом интерфейсе прошивки (EFI) во время процедуры обновления.
Относительно новый тип атаки, получивший название Thunderstrike, подробно обсуждался в рамках лекции «Буткиты EFI для Apple MacBook». Такой буткит способен пережить переустановку OS X. Он успешно противостоит попыткам удаления со стороны программного обеспечения и способен распространяться от ноутбука к ноутбуку, заражая Thunderbolt-устройства, которые подключаются к инфицированному компьютеру.
«Так как ROM является независимой операционной системой, переустановка OS X не приводит к удалению буткита. Он полностью контролирует компьютер сразу после его включения, и зловред нельзя удалить стандартными средствами», – рассказал хакера.
