普通用户如何轻松验证Mac固件的完整性?
在您否决这个问题或向我讲解我如何偏执并且没有人需要这样做之前,请阅读以下内容。
2015年7月,CVE-2015-3692揭示了Mac的EFI固件可能被远程攻击者入侵。(可用于此的向量在其他CVE中,但可以假设是任何东西,包括恶意的虚假Flash更新安装程序之类的东西。)
在苹果公司于7月30日使用EFI固件安全更新2015-001为OS X 10.8、10.9和10.10对其进行修补之前,此漏洞至少已发布四个星期。
宣布此漏洞的同一位安全研究人员还声称,在一次会议上看到了无法删除或覆盖的固件黑客攻击的演示。
因此,一旦一个Mac的EFI至今已拥有,如果攻击者这样做是正确的,那么用来刷新与有效的Apple固件EFI的唯一方法是直接连线了reflasher对逻辑板本身的EFI芯片(千万不能尝试这个在家)。
报道此漏洞的新闻文章对此轻描淡写,说大多数用户不要担心,为了保护自己,您所要做的就是永远不要让Mac进入睡眠模式,并且禁用root用户,或者永远不要对您进行的任何身份验证不要100%信任。这些文章的评论线程概括起来是这样的:如果所有的应用程序来自可信来源,如官方的App Store,你永远不会运行任何东西,不是由开发商知道苹果的代码签名,那么你应该没有什么后顾之忧。
但是后来在2015年9月,我们了解了XCodeGhost漏洞,据悉,该漏洞已导致许多感染了恶意软件的应用程序出现在官方的iOS App Store中-但是OS X应用程序如何?在链接的文章中,Malwarebytes写道:
Wardle在三月份曾指出Xcode容易受到此类攻击,但令人恐惧的是,它也将矛头指向了许多其他OS X应用程序。这些应用中的任何一个都可能容易受到类似攻击。
他们还写道,“普通用户不应该惊慌” —我经常在Apple支持论坛和其他地方看到这样的口头禅,无论何时用户发布有关他们所遇到的大量奇怪问题的线索。我们被告知:“只需重新格式化驱动器并执行系统的全新安装。问题可能出在第三方系统的修改上。” 如果仍不能解决问题,人们会被告知这一定是硬件问题,例如硬盘故障,GPU故障或RAM不足。我见过人们在其中替换掉Mac中每个组件的线程,问题总是会再次出现。
现在,我们知道用户的EFI固件有可能被黑客入侵了-因此,即使更换了主板,当他们重新安装应用程序时,该固件也可能会再次被恶意软件刷新!而且,如果不更换主板,则无论如何都将用软管固定。
这使我回到了主要问题。
普通用户如何轻松验证Mac固件的完整性?即,您如何检查以确保Mac的固件从未受到恶意软件的破坏?我找不到不需要禁用SIP的与El Capitan兼容的任何方法。对于以前的OS版本,有一个名为DarwinDumper的复杂第三方工具可以将您的EFI内容转储到文本文件,但是您仍然需要有效的Apple固件与之进行比较-这不是普通用户使用的方法有能力做。
告诉人们不要担心自己很好的事情可能是受害者,而无法检查自己是否是事实,这是使这类漏洞利用对于自满和缺乏警惕性的黑客有利可图的原因。部分用户。
==
编辑:我在Apple支持网站上找到了最新的官方Apple固件安装程序。奇怪的是,安装程序无法在10.10或10.11上运行。使用Pacifist,我为Macbook Pro 9,1提取了.scap文件。我将HexFiend中的二进制文件与重新启动到恢复模式并csrutil disable
在终端上运行以禁用无根并启用运行未签名的kexts的能力后使用DarwinDump提取的biosdump 进行了比较。我恢复了此BIOS标头:
$IBIOSI$ MBP91.88Z.00D3.B0B.1506081214Copyright (c) 2005-2015 Apple Inc. All rights reserved.ˇˇˆ´5µ}ñÚC¥î°Îé!¢é_i@Ÿ¯¡Apple ROM Version
BIOS ID: MBP91
Built by: root@saumon
Date: Mon Jun 8 12:14:35 PDT 2015
Revision: svn 39254 (B&I)
Buildcave ID: 6
ROM Version: 00D3_B0B
Apple头中的官方BIOS:
$IBIOSI$ MBP91.88Z.00D3.B0B.1506081214Copyright (c) 2005-2015 Apple Inc. All rights reserved.ˇˇˆ´5µ}ñÚC¥î°Îé!¢é_i@Ÿ¯¡Apple ROM Version
BIOS ID: MBP91
Built by: root@saumon
Date: Mon Jun 8 12:14:35 PDT 2015
Revision: svn 39254 (B&I)
Buildcave ID: 6
ROM Version: 00D3_B0B
除此之外,这些文件看起来非常不同,但是我猜测.scap文件具有某种压缩方式。至少这告诉我,我安装了最新的固件,该固件是在宣布黑客入侵后发布的。我很好。能够通过某种校验和验证来确认我很好会很好!看着你,苹果!