La causa exacta de esta vulnerabilidad no se ha hecho pública todavía. El problema parece que se debe a un error en la implementación del modo de suspensión en reposo que puede dejar accesibles áreas de la memoria en de firmware extensible (EFI), que proporciona un control de hardware de bajo nivel y de acceso, lo que permitiría escribir en la EFI desde una cuenta de usuario en el equipo. Estas áreas de memoria están normalmente cerradas y solo son de lectura para protegerlas.
Sin embargo, al poner ciertos modelos de Mac en reposo durante unos 20 segundos y luego despertarlos desbloquea la memoria EFI para la escritura.
El investigador que descubrió el problema, Pedro Vilaça, dijo que la vulnerabilidad puede ser usada para instalar remotamente rootkits o malware persistente que es invisible para el sistema operativo en la EFI, utilizando por ejemplo el navegador web Safari.
Este tipo de ataque, no obstante, es muy específico ya que cada Mac cuenta con una EFI muy específica, aunque un atacante podría crear tantas EFIs como modelos de Mac quisiera atacar y entregarlas a medida. Además, pueden ser necesarios algunos pasos adicionales para lograr una escalada de privilegios hasta superusuario para cargar módulos del kernel, pero eso no es especialmente complicado de hacer, dijo Vilaça.
Vilaça cree que Apple es consciente de la cuestión – sus pruebas demuestran que este problema no está presente en el firmware de Macs fabricados a partir de mediados de 2014. El investigador no ha contactado con Apple al respecto de este fallo y Apple no ha hecho comentarios al respecto.
La noticia de esta vulnerabilidad se está propagando por la red como una mala hierba. Y sinceramente, no es para tanto. El vector de ataque y las condiciones son tan específicas que es altamente improbable el sufrirla. No obstante, y dado que la gravedad de la vulnerabilidad, cualquier paranoico puede evitarla evitando la suspensión del sistema hasta que Apple libere las actualizaciones de EFI. Cosa que va a hacer con todo seguridad.
Y cuando Apple se ponga a actualizar EFIs ¿hasta dónde llegará? Porque si llega hasta la primera maquina con Intel, igual hasta hace un EFI de 64 bits para el Mac Pro del 2006-2007
@carlos muchas gracias por avisar porque a veces me da la sensación de que estas notícias se esconden porque a veces me entero de casualidad.
@sault dices que es tan fácil como evitar la suspensión. Yo no lo apago nunca, lo dejo en reposo y así me siento, toco el teclado y listo, en 2 segundos sigo donde lo dejé. Lo menos alentador del artículo es su desenlace donde dice que el experto en seguridad no ha avisado a Apple y ésta no se ha pronunciado al respecto. Yo tengo tres equipos afectados (Mac Pro 2009, Macbook Pro 2010 y Macbook Air 2013) porque nunca los apago, a excepción del Macbook Pro que sí lo apago si tengo que transportarlo para evitar golpes de la aguja en el disco. De unos años a esta parte estoy leyendo mucha información sobre problemas de seguridad y la verdad ya no estoy tan despreocupado como antes, soy usuario desde 1999 cuando empezé con Mac OS 9.
¿Recomendáis algún programa para tener vigilados esos troyanos, malware y otras hierbas? Muchas gracias