平均的なユーザーはどのようにしてMacのファームウェアの整合性を簡単に検証できますか?


9

平均的なユーザーはどのようにしてMacのファームウェアの整合性を簡単に検証できますか?

この質問に反対票を投じる前、または私がどのように偏執狂的であり、誰もそれをする必要がないことについて私に説明する前に、以下をお読みください。

2015年7月、CVE-2015-3692は、MacのEFIファームウェアがリモートの攻撃者によってハッキングされる可能性があることを明らかにしました。(これに使用できるベクターは他のCVEにありますが、悪意のある偽のFlash更新インストーラーなどを含め、仮想的には何でもかまいません。)

この脆弱性は、アップルが7月30日にOS X 10.8、10.9、および10.10にEFIファームウェアセキュリティアップデート2015-001をパッチする前に、少なくとも4週間公開されました。

この脆弱性を発表した同じセキュリティ研究者も、削除または上書きできないファームウェアハックの会議でデモを見たと主張しています。

したがって、MacのEFIが所有された後、攻撃者がそれを正しく行った場合、有効なAppleファームウェアでEFIを再フラッシュする唯一の方法は、ロジックボード自体のEFIチップに直接再フラッシュを接続することです(試さないでください)これは自宅で)。

この脆弱性を報告したニュース記事はそれを軽視し、ほとんどのユーザーが心配する必要はなく、自分を保護するために行う必要があるのは、Macをスリープモードにさせず、ルートユーザーを無効にするか、何も認証しないことです100%信頼しないでください。これらの記事のコメントスレッドは、次のようにまとめています。すべてのアプリが公式App Storeなどの信頼できるソースから提供されており、Appleが知っている開発者によってコード署名されていないものを実行しない場合、心配する必要はありません。

しかし、2015年9月に、公式のiOS App Storeにマルウェアに感染した多数のアプリが表示されることが知られているXCodeGhostエクスプロイトについて学びましたが、OS Xアプリについてはどうですか?リンクされた記事で、Malwarebytesは次のように書いています。

Wardleは3月に、Xcodeがこの種の脆弱性に対して脆弱であることを指摘しましたが、恐ろしいことに、他の多くのOS Xアプリにも指を向けました。これらのアプリはいずれも、同様の攻撃に対して脆弱である可能性があります。

彼らはまた、「平均的なユーザーはパニックに陥るべきではない」と書いている。Appleのサポートフォーラムや他の場所で、ユーザーが抱えている奇妙な問題についてスレッドを投稿するたびに、私がよく見かけるのと同じ言葉です。「ドライブを再フォーマットして、システムのクリーンインストールを実行するだけです。問題はおそらくサードパーティのシステムの変更です」と私たちは伝えています。それでも解決しない場合は、HDDの故障、GPUの故障、RAMの不良など、ハードウェアの問題であると人々に言われます。Macのすべてのコンポーネントを文字通り置き換えたスレッドを見てきましたが、問題は常に再発します。

これで、ユーザーのEFIファームウェアがハッキングされた可能性があることがわかっています。マザーボードを交換した場合でも、アプリを再インストールすると、マルウェアがマルウェアによって再度フラッシュされる可能性があります。そして、マザーボードが交換されなかった場合、それらは何に関係なくホースされます。

それで私は主な質問に戻ります。

平均的なユーザーはどのようにしてMacのファームウェアの整合性を簡単に検証できますか?つまり、Macのファームウェアがマルウェアに感染していないことを確認するにはどうすればよいでしょうか。El Capitanと互換性があり、SIPを無効にする必要のない方法を見つけることができませんでした。以前のOSバージョンの場合、EFIの内容をテキストファイルにダンプできるDarwinDumperと呼ばれる複雑なサードパーティツールがありますが、それと比較するには有効なAppleファームウェアが必要です。これは、平均的なユーザーが使用する方法ではありませんすることができます。

自分が非常によく被害を受ける可能性があることを心配しないように、またそうであるかどうかを確認する方法がないことを人々に告げることは、この種のエクスプロイトが、自己満足と依存に対する警戒の欠如に依存しているハッカーに利益をもたらすことを可能にするものです。ユーザーの一部。

==

編集:Appleのサポートサイトで最新の公式Appleファームウェアインストーラーを見つけました。奇妙なことに、インストーラーは10.10または10.11では動作しません。Pacifistを使用して、Macbook Pro 9,1の.scapファイルを抽出しました。HexFiendのバイナリと、Recovery Modeで再起動しcsrutil disableてターミナルで実行した後にDarwinDumpを使用してプルしたbiosdumpを比較して、ルートレスを無効にし、署名されていないkextを実行できるようにしました。私はこのBIOSヘッダーを回復しました:

   $IBIOSI$   MBP91.88Z.00D3.B0B.1506081214Copyright (c) 2005-2015 Apple Inc.  All rights reserved.ˇˇˆ´5µ}ñÚC¥î°Îé!¢é_i@Ÿ¯¡Apple ROM Version
   BIOS ID:      MBP91
   Built by:     root@saumon
   Date:         Mon Jun  8 12:14:35 PDT 2015
   Revision:     svn 39254 (B&I)
   Buildcave ID: 6
   ROM Version:  00D3_B0B

Appleのヘッダーの公式BIOS:

   $IBIOSI$   MBP91.88Z.00D3.B0B.1506081214Copyright (c) 2005-2015 Apple Inc.  All rights reserved.ˇˇˆ´5µ}ñÚC¥î°Îé!¢é_i@Ÿ¯¡Apple ROM Version
   BIOS ID:      MBP91
   Built by:     root@saumon
   Date:         Mon Jun  8 12:14:35 PDT 2015
   Revision:     svn 39254 (B&I)
   Buildcave ID: 6
   ROM Version:  00D3_B0B

それ以外のファイルは非常に異なって見えますが、.scapファイルにはなんらかの圧縮があると思います。少なくとも、ハックが発表された後にリリースされた最新のファームウェアがインストールされていることがわかります。元気です。しかし、ある種のチェックサム検証を通じて私が元気であると確認できたらうれしいです!あなたを見て、アップル!


2
これは(かなりよく調査された)質問ですか、それとも機能のリクエストですか?質問の場合は、少し細かくして、探しているものに焦点を当てることができますか(「エンドユーザーがファームウェアの整合性を確認するにはどうすればよいですか」)。
ノーヒルサイド

質問。私が探している部分は太字で2回繰り返され、タイトルです。サポートの詳細が「問題」である場合は、読者の脳にRAMを増設するか、リタリンを使用することに頼っています。
CommaToast

2
それでも、(質問の最後の)編集を最初の回答に変えることで問題を改善できます(おそらく、カジュアルなユーザーが必要な手順を実行する方法についての詳細がいくつかあります)。また、Appleに聞いてもらいたい場合(そして私はそうすべきだと思う場合)、機能のリクエストの方がより良い方法です:-)
nohillside

Appleに「聞いて」もらいたくない...彼らに彼らとは違う種類の会社になってもらいたい。彼らが私を「素晴らしい保証者」として雇わなければそれは決して起こらないだろう
CommaToast

回答:


2

MactelなどのIntel UEFIシステムのファームウェアを確認するには、Intel LUV(Linux UEFI Validation)ディストリビューションを起動してluv-liveし、Intel CHIPSECを実行します。既知のファームウェアの脆弱性のほとんどをチェックします。ボックスを最初に受け取ったときにCHIPSECを実行し、ROMを保存してから、時々CHIPSECを再実行してROMの変更を比較する必要があります。UEFItool、CHIPSECUEFI-Firmware-Parser、またはその他のいくつかのツールを使用して、ROMのフォレンジック検査を行うことができます。

トピックと関連ツールの詳細については最近行ったプレゼンテーションのスライドをご覧ください。


また、Apple ROMを収集するFirmware Vaultというプロジェクトもあります。これは、調査にも役立つでしょう。
Lee Fisher、

2

「平均的なユーザーはどうやってできるのか」というタイトルは、危険ゾーンのようなものです。私はターミナル平均を使用する人は誰もいないと判断します-判定に合格せず、ここの聴衆はファームウェアを検証する必要があることさえ知っている平均よりもはるかに高いということだけです。うまくいけば、平均的なMacユーザーが何をすべきかについての次の短い要約で、あまり大げさに聞こえないようにする必要があります。

macOSインストーラーは、OSのインストール/再インストール時にファームウェアを更新するため、起動してmacOSの現在のバージョンを回復して再インストールするだけで、プログラム、設定、データが失われず、ファームウェアが最新であることを確認できます。数か月前にOSをインストールした場合でも、インストールの準備中にインストーラーがチェックするときに新しいファームウェアが存在する場合は、演習の一環としてそのアップデートを取得します。


インストールを実行できない、または実行する意思がない場合は、本当に最新の状態にあることを報告/検証するのがはるかに難しくなります。通常のアップグレード/アップデートプロセスの一環としてアップデートを入手できなかった理由に依存すると思います。すべてのファームウェアに対する一般的なチェックは行われていないため、平均的なユーザーはファームウェアを検証できず、例外的なユーザーでも必要なレベルの分析を実行することが困難です。平均的なユーザーは、認証と承認の違いに苦労しています。エキスパートユーザーは、信頼性と人間性のチェックサムと暗号化チェーンを検証するのは面倒であり、十分に設計された、やる気があり、十分にサポートされた環境であっても、これらの活動はうまくいきません。

ファームウェアを確認し、公式のApple Security Notificationsメーリングリストに参加したいインスタンスごとに、Appleでサポートチケットを開いて、状況が変化したときにループに入るようにします。

これがあなたの望んだ答えではない場合は申し訳ありませんが、これはあなたの質問を見て、学習を始める方法を疑問に思うすべての人への答えへの私の小さなエントリーでもあると感じました。より多くのユーザーがアップルにサポートを要求すると、最終的にナレッジベースの記事が作成されます。いくつかの転換点では、資金が追加され、問題はユーザーの教育レベルに合わせて設計されます。私たちは物事を見るところからまだ始まったばかりです。


0

アップデートと同様に、macOS 10.13 High SierraはMacのファームウェアの整合性を週に1回自動的に検証します。ファームウェアに問題が見つかった場合、MacはレポートをAppleに送信するよう提案します。The Eclectic Light Companyの投稿は、レポートについてこれを述べています。

「Hackintosh」ではなく実際のMacを実行している場合、Kovahはレポートの送信に同意するよう求めます。これにより、eficheckがEFIファームウェアからバイナリデータを送信できるようになり、NVRAMに保存されているデータを除外してプライバシーを保護します。その後、Appleはデータを分析して、マルウェアなどによって変更されているかどうかを判断できます。

AppleInsiderもこれを言っています。

アップルに送信されたレポートには、NVRAMに保存されているデータは含まれていません。Appleは送信されたデータを調べて、マルウェア攻撃があったかどうかを評価します

この新機能の詳細については、ここをチェックしてください:macOS High SierraはEFIファームウェアのセキュリティチェックを毎週自動的に実行します


0

新しいプログラムが利用可能になったので、この質問に対する更新のみです。

これはeficheckと呼ばれます。これは/ usr / libexec / firmwarecheckers / eficheckディレクトリにあり、おそらくパスにはないため、他のディレクトリよりも少し複雑ですが、その使用方法を説明するマニュアルページがあります。

EFIに入るほど適度に洗練されたものは、ある程度検出を回避できる可能性が高いと考えることが重要です。それがアンチウイルスチェックが役に立たない理由の多くですが、「アンチウイルスチェックはゴミである」と逆流する人々は理由について手がかりがなく、アンチウイルス会社が能力を知らない傾向があるという彼らが描いたよりも賢い誰かが描いた結論を繰り返していますMac固有のマルウェアを適切に分析して、ファイルの一意のハッシュ値をデータベースに追加しないようにします。これにより、コンピューターは自身のファイルのハッシュを計算し、次に既知のマルウェアハッシュのデータベースに対するハッシュを計算できます。ほとんどすべてのウイルススキャンはそれ以上何もせず、悪意のある動作を探しません。

結局のところ、AppleのEFIはIntelのUEFIなので、Appleは本当に複雑で技術的なことを正しく実行すると信頼しています。Appleは彼ら自身のPKIを理解することすらできず、Intelプロセッサの開発者向けマニュアルを見たことがありますか?何千ページもの古代ギリシャ語です。つまり、Appleはかわいく賢いとは思わなかったということですか。

セキュリティメーリングリストは、更新がリリースされたときの簡単な通知で、それ以上のものはありません。最新のOSと古いOS、つまり使用中のOSに影響を与える、長く特定されて容易に悪用されるCVE-IDされた問題に対する新しいパッチのループに入るでしょう。アップデートで将来の悪用を防ぐものは何もありません。少なくとも、そのようなことについて話さないという彼らの方針のために彼らはこれまでに言及するでしょう。対処される唯一のセキュリティ項目は、非常に具体的な問題がアップデートによって修正されたということです。

彼らが「マルウェア攻撃」を特定した場合(その後に留まりませんでしたか?)、それを確認してユーザーに報告すると、独自のポリシーに違反します。彼らの顧客はまだマルウェアを信じていません。ユーザーへの連絡や問題の修正については何も述べていないことに注意してください。ヘッドラインが見えるようになりました。最近の悪いマスコミは皆、本当にエゴを打ちのめしていて、転換点に近づいているようです。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.