Gli utenti Apple credono di usare un sistema operativo più sicuro di Windows. Due ricercatori hanno però scoperto che OS X è altrettanto vulnerabile, nonostante sia meno diffuso del software Microsoft. Xeno Kovah e Trammell Hudson hanno sviluppato un rootkit che può essere installato da remoto nel firmware e infettare tutti i Mac con porta Thunderbolt. Questo tipo di malware non può essere individuato e rimosso dai tradizionali antivirus.
I ricercatori hanno scoperto sei vulnerabilità nei BIOS dei PC di Dell, Lenovo, HP e Samsung. Dato che i produttori tendono ad usare lo stesso codice per tutti i dispositivi, cinque delle sei vulnerabilità sono presenti anche nel firmware EFI dei Mac. Kovah e Hudson hanno sfruttato tre dei cinque bug (gli altri due sono stati corretti da Apple) per sviluppare il rootkit Thunderstrike 2 che può essere distribuito mediante email di phishing o sito infetto. Il malware verifica la presenza di periferiche collegate alla porta Thunderbolt e, se la ricerca è positiva, infetta la Option ROM del dispositivo.
In questo modo è possibile compromettere qualsiasi Mac, in quanto il rootkit viene caricato dalla Option ROM nel firmware EFI che viene eseguito al boot del computer. Se, ad esempio, l’utente collega un adattatore Thunderbolt-Ethernet, il malware viene copiato dal firmware EFI alla Option ROM, passando quindi da un Mac all’altro, anche se non viene connesso ad Internet. I ricercatori rilasceranno un tool che permetterà solo di verificare l’integrità della Option ROM, non il firmware EFI del Mac.
Dato che nessun antivirus effettua la scansione del firmware, il rootkit non può essere rilevato. L’unico modo per eliminarlo è il re-flash del chip che contiene il firmware, un’operazione non alla portata di tutti. Per evitare la modifica del codice, i produttori hardware dovrebbero usare la crittografia e implementare funzionalità di autenticazione per verificare le firme digitali. Come ulteriore contromisura potrebbero consentire agli utenti di leggere il firmware per confrontare il checksum con quello originale.