Parece que la tan ganada fama de Apple a propósito de su seguridad ha llegado a su fin. La culpa de ello la tiene un gusano llamado Thunderstrike 2 que parece poder infectar los Mac directamente desde el propio firmware. Aún es pronto para evaluar los devastadores resultados que pudiera tener este gusano en el mundo Apple pero parece que la puerta ya está abierta.
El día 6 de agosto, en la conferencia de seguridad Black Hat de Las Vegas tendremos más datos al respecto pero lo que sí que ya conocemos a ciencia cierta es que dos empresas de seguridad informática, Legbacore y Two Sigma Investments han desarrollado a ThunderStrike 2, el gusano encargado de destruir uno de los cimientos sobre los que se apoyaba Apple que no es otro que el de la seguridad.
¿Un gusano indetectable?
Pero lo peor de este gusano no es que haya sido el pionero, que ya es bastante importante de cara a la opinión pública, lo más importante es que a priori es casi indetectable si tenemos en cuenta que se encuentra directamente en el firmware. Según palabras de Xeno Kovah, CEO de Legbacore, “[The attack is] really hard to detect, it’s really hard to get rid of, and it’s really hard to protect against something that’s running inside the firmware,”. A diferencia de cualquier virus al uso que conocemos de los múltiples que existen en un PC, éste Thunderstrike 2 no infecta los equipos Mac entrando a través de cualquier archivo o del propio Sistema Operativo, si no que lo hace a nivel de firmware. La única manera de eliminar el malware residente en el firmware sería volver a flashear el chip que contiene dicho firmware.
El firmware es un lugar particularmente valioso para ocultar malware en una máquina porque opera en un nivel por debajo del nivel en el que los antivirus y otros productos de seguridad actúan y por lo tanto generalmente el gusano pasa desapercibido para este tipo de software. Teniendo en cuenta que el firmware se mantiene intacto, aunque el Sistema Operativo sea reinstalado una y otra vez, el malware siempre se va a encontrar residente en el sistema de una forma persistente.
El Thunderstrike 2 se expande directamente a través de la memoria ROM y puede afectar a cualquier Mac bien a través de un simple correo electrónico o bien conectando cualquier dispositivo bien a través del puerto USB o simplemente desde un adaptador ethernet.
El desarrollo de este gusano viene de una investigación que ya se realizó sobre las posibles vías de infección a través del propio firmware de diferentes fabricantes de ordenadores como HP, Lenovo o Dell. Muchas de esas vías de infección son aplicables a Apple desde el mismo momento que el gigante de Cupertino utiliza estándares de referencia para la programación de su propio firmware. Gracias al desarrollo de este gusano, Apple ya ha conseguido tapar dos de esas cinco vías a través de las cuales se puede propagar la infección.
Fuente Wired