Macs são alvo de ataque “indetectável” e “imbatível”

Por Redação | 13.01.2015 às 12:20

Se o Mac OS X é tão arrojado e seguro que poucos malwares conseguem penetrá-lo, as ameaças disponíveis para o sistema operacional da Apple também são complexas o suficiente para ultrapassarem tais barreiras e, acima de tudo, constituírem um perigo real. É essa a conclusão de Trammel Hudson, um pesquisador de segurança da Two Sigma Investments, que revelou o Thunderstrike, um malware “indetectável” e “imbatível” que infecta as máquinas da Maçã.

Segundo ele, a praga é capaz de contaminar computadores a partir da porta Thunderbolt e, a daí então, tomar controle total de todos os aspectos do computador. Assim, um hacker poderia fazer o que quisesse com a máquina, controlando aspectos que vão desde sua inicialização até parâmetros que só funcionam em plena atividade, como os registros do que é digitado ou a interceptação das informações trocadas com a internet.

Hudson é o responsável pela criação da ameaça, descoberta quando ele resolveu utilizar engenharia reversa para verificar a segurança física de um Macbook. Apesar disso, ele não pode garantir que a vulnerabilidade já venha sendo usada, sem que ninguém perceba, por hackers, uma vez que também pode ter sido descoberta por eles. As informações são do site ZDNet.

Inicialmente, a ameaça exigiria uma alteração física nos computadores, mais especificamente, nos trechos de memórias responsáveis por iniciar o sistema operacional. Analisando a estrutura dos equipamentos mais profundamente, porém, o especialista percebeu que as portas Thunderbolt nada mais são do que uma “extensão” das entradas PCIe dos Macs. Assim, utilizando dispositivos externos violados, ele foi capaz de instalar o malware e tomar controle total sem que um usuário pudesse perceber isso.

Como se trata do primeiro “bootkit” para o Mac OS X, com códigos que rodam desde a própria inicialização do sistema operacional, ainda não existe uma forma de detectar a ameaça. E mesmo que existisse, um hacker poderia simplesmente desabilitar tal sistema de segurança para que o Thunderstrike continuasse oculto já que, ao controlar o boot, ele também é capaz de selecionar o que será executado pela máquina.

Hudson vai mais além, afirmando que uma reinstalação do sistema operacional também não seria capaz de livrar o usuário da praga. Uma formatação ou até mesmo uma troca do disco rígido também não seriam eficazes, já que a praga fica instalada em outros componentes do hardware e pode até mesmo substituir completamente a memória de boot por uma versão customizada, permanecendo para sempre entranhada no coração do Mac OS X. Da forma como está, basicamente, a única forma de se livrar da praga seria a compra de um computador novo – desde que ele também não esteja infectado por intermediários.

Ataques direcionados

O especialista deixa bem claro que a ameaça é grave, como já dá para perceber, mas pondera que, devido à sua complexidade, os alvos devem ser raros e bastante selecionados. O Thunderstrike é extremamente difícil de ser desenvolvido e exige uma presença física para ser instalado, tornando-se uma alternativa mais viável para grandes roubos de informações, em vez da obtenção de dados de cartão de crédito de usuários comuns.

Sendo assim, quem deve ficar realmente atento são os grandes executivos, principalmente quando estiverem hospedados ou entregarem seus computadores para manutenção. Hudson cita um exemplo no qual um grupo de hackers pode, por exemplo, subornar um membro do serviço de quarto de um hotel para que ele, ao entrar no quarto do alvo, plugue um dispositivo na porta Thunderbolt. A instalação acontece automaticamente e de forma rápida, sem que vestígios do ataque sejam deixados.

Todas as versões de computadores Apple que tenham portas do tipo estão vulneráveis ao ataque, mas antes de divulgar as informações ao público, o especialista também as passou para a Apple. Ele diz que a empresa já está trabalhando em uma correção que impeça a alteração da memória de boot por meio da porta Thunderbolt. Isso, pelo menos, deve cortar o principal vetor de infecção. Um bloqueio total, porém, parece impossível, já que não há nada que possa impedir uma alteração feita de maneira física, diretamente no chip.