Durante una plática en el Chaos Communications Congress en Alemania, el investigador Trammell Hudson presentó un ataque que se efectúa a través del puerto Thunderbolt y que permite introducir código en las computadoras Mac.
PUBLICIDAD
El ataque, llamado Thunderstrike, aprovecha una falla en la Thunderbolt Option ROM que se conoce desde 2012. Este defecto trató de ser explotado en otras ocasiones, pero resultaba en equipos brickeados. Por su parte, Hudson tomó pasos adicionales para evitar este resultado, y demostró que puede instalar un bootkit personalizado en una computadora, el cual es capaz de propagarse a otros dispositivos conectados a puertos Thunderbolt.
Uno de los aspectos más importantes de Thunderstrike es que el código se instala en una ROM por separado, por lo que el ataque no se puede eliminar reinstalando el sistema operativo ni cambiando el disco duro. Además, si el atacante así lo desea, podría prevenir que se instalen actualizaciones legítimas en la computadora de la víctima.
A continuación puedes ver el video de la presentación de Thunderstrike:
Cabe mencionar que este ataque sólo se efectúa al tener acceso físico a la computadora de la víctima, y Hudson asegura que no hay bootkits a la mano de ningún posible atacante. Por su parte, Apple parchó parte de la vulnerabilidad en las computadoras iMac con pantalla Retina 5K y Mac Mini.
Uno de los consejos básicos de la seguridad (y de la vida) también aplica para este ataque: si no sabes de dónde viene, o simplemente no confías en él, no lo introduzcas a tu computadora.
