平均的なユーザーはどのようにしてMacのファームウェアの整合性を簡単に検証できますか?
この質問に反対票を投じる前、または私がどのように偏執狂的であり、誰もそれをする必要がないことについて私に説明する前に、以下をお読みください。
2015年7月、CVE-2015-3692は、MacのEFIファームウェアがリモートの攻撃者によってハッキングされる可能性があることを明らかにしました。(これに使用できるベクターは他のCVEにありますが、悪意のある偽のFlash更新インストーラーなどを含め、仮想的には何でもかまいません。)
この脆弱性は、アップルが7月30日にOS X 10.8、10.9、および10.10にEFIファームウェアセキュリティアップデート2015-001をパッチする前に、少なくとも4週間公開されました。
この脆弱性を発表した同じセキュリティ研究者も、削除または上書きできないファームウェアハックの会議でデモを見たと主張しています。
したがって、MacのEFIが所有された後、攻撃者がそれを正しく行った場合、有効なAppleファームウェアでEFIを再フラッシュする唯一の方法は、ロジックボード自体のEFIチップに直接再フラッシュを接続することです(試さないでください)これは自宅で)。
この脆弱性を報告したニュース記事はそれを軽視し、ほとんどのユーザーが心配する必要はなく、自分を保護するために行う必要があるのは、Macをスリープモードにさせず、ルートユーザーを無効にするか、何も認証しないことです100%信頼しないでください。これらの記事のコメントスレッドは、次のようにまとめています。すべてのアプリが公式App Storeなどの信頼できるソースから提供されており、Appleが知っている開発者によってコード署名されていないものを実行しない場合、心配する必要はありません。
しかし、2015年9月に、公式のiOS App Storeにマルウェアに感染した多数のアプリが表示されることが知られているXCodeGhostエクスプロイトについて学びましたが、OS Xアプリについてはどうですか?リンクされた記事で、Malwarebytesは次のように書いています。
Wardleは3月に、Xcodeがこの種の脆弱性に対して脆弱であることを指摘しましたが、恐ろしいことに、他の多くのOS Xアプリにも指を向けました。これらのアプリはいずれも、同様の攻撃に対して脆弱である可能性があります。
彼らはまた、「平均的なユーザーはパニックに陥るべきではない」と書いている。Appleのサポートフォーラムや他の場所で、ユーザーが抱えている奇妙な問題についてスレッドを投稿するたびに、私がよく見かけるのと同じ言葉です。「ドライブを再フォーマットして、システムのクリーンインストールを実行するだけです。問題はおそらくサードパーティのシステムの変更です」と私たちは伝えています。それでも解決しない場合は、HDDの故障、GPUの故障、RAMの不良など、ハードウェアの問題であると人々に言われます。Macのすべてのコンポーネントを文字通り置き換えたスレッドを見てきましたが、問題は常に再発します。
これで、ユーザーのEFIファームウェアがハッキングされた可能性があることがわかっています。マザーボードを交換した場合でも、アプリを再インストールすると、マルウェアがマルウェアによって再度フラッシュされる可能性があります。そして、マザーボードが交換されなかった場合、それらは何に関係なくホースされます。
それで私は主な質問に戻ります。
平均的なユーザーはどのようにしてMacのファームウェアの整合性を簡単に検証できますか?つまり、Macのファームウェアがマルウェアに感染していないことを確認するにはどうすればよいでしょうか。El Capitanと互換性があり、SIPを無効にする必要のない方法を見つけることができませんでした。以前のOSバージョンの場合、EFIの内容をテキストファイルにダンプできるDarwinDumperと呼ばれる複雑なサードパーティツールがありますが、それと比較するには有効なAppleファームウェアが必要です。これは、平均的なユーザーが使用する方法ではありませんすることができます。
自分が非常によく被害を受ける可能性があることを心配しないように、またそうであるかどうかを確認する方法がないことを人々に告げることは、この種のエクスプロイトが、自己満足と依存に対する警戒の欠如に依存しているハッカーに利益をもたらすことを可能にするものです。ユーザーの一部。
==
編集:Appleのサポートサイトで最新の公式Appleファームウェアインストーラーを見つけました。奇妙なことに、インストーラーは10.10または10.11では動作しません。Pacifistを使用して、Macbook Pro 9,1の.scapファイルを抽出しました。HexFiendのバイナリと、Recovery Modeで再起動しcsrutil disable
てターミナルで実行した後にDarwinDumpを使用してプルしたbiosdumpを比較して、ルートレスを無効にし、署名されていないkextを実行できるようにしました。私はこのBIOSヘッダーを回復しました:
$IBIOSI$ MBP91.88Z.00D3.B0B.1506081214Copyright (c) 2005-2015 Apple Inc. All rights reserved.ˇˇˆ´5µ}ñÚC¥î°Îé!¢é_i@Ÿ¯¡Apple ROM Version
BIOS ID: MBP91
Built by: root@saumon
Date: Mon Jun 8 12:14:35 PDT 2015
Revision: svn 39254 (B&I)
Buildcave ID: 6
ROM Version: 00D3_B0B
Appleのヘッダーの公式BIOS:
$IBIOSI$ MBP91.88Z.00D3.B0B.1506081214Copyright (c) 2005-2015 Apple Inc. All rights reserved.ˇˇˆ´5µ}ñÚC¥î°Îé!¢é_i@Ÿ¯¡Apple ROM Version
BIOS ID: MBP91
Built by: root@saumon
Date: Mon Jun 8 12:14:35 PDT 2015
Revision: svn 39254 (B&I)
Buildcave ID: 6
ROM Version: 00D3_B0B
それ以外のファイルは非常に異なって見えますが、.scapファイルにはなんらかの圧縮があると思います。少なくとも、ハックが発表された後にリリースされた最新のファームウェアがインストールされていることがわかります。元気です。しかし、ある種のチェックサム検証を通じて私が元気であると確認できたらうれしいです!あなたを見て、アップル!