Thunderstrike

[Tobich]

Thunderstrike
​

Thunderstrike – Horror für alle Mac-Benutzer
Über die Thunderbolt-Schnittstelle kann jedes beliebige Macbook gekapert werden. Einmal infiziert, lässt sich die Schadsoftware nicht mehr entfernen.
Es ist eine kritische Schwachstelle, die der IT-Experte Trammell Hudson entdeckt hat. Er hat es geschafft, über eine Thunderbolt-Schnittstelle Malware auf Macbooks einzuschleusen. Diese von ihm benannte Thunderstrike-Schadsoftware nistet sich nicht auf der Festplatte des Geräts, sondern in der sogenannten Firmware, ein. Damit gelang es dem Forscher, vom Start des Rechners an die Kontrolle über das System zu erlangen und so etwa alle Tastatureingaben mitzuschneiden, oder aber auch weitere Hintertüren zu öffnen.

Laut Hudson kann Thunderstrike nicht ohne Weiteres erkannt oder gar entfernt werden. Selbst drastische Massnahmen wie die Neuinstallation des Systems oder der Austausch der Festplatte würden nichts bringen, da die schädliche Software auf dem Boot-ROM abgelegt ist. Ein infiziertes Macbook kann Thunderstrike zudem an andere Geräte weitergeben, sobald diese via Thunderbolt angeschlossen werden. Damit Angreifer die Lücke ausnutzen können, sei nur ein kurzer physikalischer Zugriff auf das Notebook nötig.

Er nennt das die «Evil Maid»-Attacke. Während man gerade beim Frühstück sitzt, werde im Hotelzimmer das Bett gemacht, die Handtücher gewechselt und nebenbei Thunderstrike installiert. Sein Proof-of-Concept ist bisher nur für OS X 10.1 konzipiert. Laut Hudson sei aber eigentlich jedes Macbook Pro/Air/Retina mit einem entsprechenden Anschluss anfällig für Thunderstrike. Apple arbeite laut dem IT-Sicherheitsforscher aber an einem Patch.
Quelle 20Min.ch

Hallo zusammen
Ich bin einwenig erschrocken als ich das gelesen habe, da frage ich mich wie kommt der Virus in den UFI eines Mac?
Nur was momentan noch Beruhigend ist das der Virus momentan nur via TB zu kopieren ist.

Ich frage mich gibt es keinen Schutz gegen diesen Virus der Virus braucht ja ein laufendes System um sich einzunisten, also wen OSX nicht startet oder gestartet ist kommt der doch nicht weit?
Auf was ich hinaus will ist ganz eifach, kann auch ein Mac bei dem FileVault 2 aktiviert ist sich den Virus einfangen?

 

[davedevil]

Ich freu mich drauf. Apple braucht Viren. Dann bemühen sie sich vielleicht mal mehr :d

 

[pmau]

Das ist alles so aufregend ... hui

 

[schlagi1979]

Ist das nicht das gleiche Prinzip, wie mit den "verseuchten" USB-Geräten?

 

[trixi1979]

Wie die Schadsoftware drauf kommt?
Na, eben über den TB-Port.
Also wenn jemand physikalisch Zugriff auf deinen Rechner hat.

Wer an deinen Rechner aber wirklich ran kann, das musst du selbst wissen.
In 99% aller Fälle bist du nicht so wichtig, als dass du dir darüber gross Gedanken machen musst.
Und in nochmal 99% aller Fälle macht der der Zugriff auf den Rechner hat, also meist der User selbst, mehr kaputt als irgendwelche Schadsoftware

 

[schlagi1979]

Ich frage mich gibt es keinen Schutz gegen diesen Virus der Virus braucht ja ein laufendes System um sich einzunisten, also wen OSX nicht startet oder gestartet ist kommt der doch nicht weit?
Auf was ich hinaus will ist ganz eifach, kann auch ein Mac bei dem FileVault 2 aktiviert ist sich den Virus einfangen?

Wenn er ein laufendes System braucht, dann ist der "Schutz", den Rechner ausgeschaltet zu lassen, bzw. nicht mit TB-Geräten zu verbinden, denen man nicht traut. FileVault dürfte in dem Kontext egal sein, denn 1) verschlüsselt es die Festplatte und nicht die Firmware, 2) ist beim laufenden Gerät eben alles entschlüsselt, also nicht geschützt, und 3) ist es beim ausgeschalteten Gerät ja dann wiederum egal, ob die ausgeschaltete Platte verschlüsselt oder nur aus ist.

 

[cifera]

… Ich frage mich gibt es keinen Schutz gegen diesen Virus der Virus braucht ja ein laufendes System um sich einzunisten, also wen OSX nicht startet oder gestartet ist kommt der doch nicht weit? …

Da es nur die Firmware angreift muss vermutlich auch nur die Firmware gestartet sein, System ist da egal. Der Angriffsvektor besteht übrigens auch bei Firewire, wenn auch vielleicht etwas anders. Physischer Zugang birgt halt immer Risiken, ein Angreifer könnte dann auch dein Büro verwanzen und so an die gewünschten Daten kommen.

 

[ProjectBuilder]

Da es nur die Firmware angreift muss vermutlich auch nur die Firmware gestartet sein, System ist da egal.

So schaut's aus. Auf jeden Fall unschön die Sache, ich bin gespannt ob und wie Apple darauf reagieren wird (anscheinend ist ein Fix in Arbeit).

 

[Lor-Olli]

Interessant finde ich den Umstand, dass dieser Hack scheinbar nur bei MacBooks funktioniert (anderer Aufbau als die Desktops), es sollte Apple also nicht so schwer fallen das Problem zu korrigieren.
Schwieriger wird es für die User, einfach einen Patch einspielen wird wohl eher nicht reichen, da wird Hardware ran müssen (Thunderbolt…). Andererseits bergen solche "Aufklärungen" auch immer die Gefahr, dass interessierte Kreise hellhörig werden. Vielleicht sogar eine gezielte Backdoor? (NIEMALS, "so was tun wir nicht" wird Apple jetzt sagen… )

 

[Wildwater]

Das ist ungefährlich. Wir sind hier in der Gerüchteküche.

ww