» »

Številni Applovi računalniki ranljivi zaradi neposodobljenega firmwara

Številni Applovi računalniki ranljivi zaradi neposodobljenega firmwara

Slo-Tech - Raziskovalci iz podjetja Duo so odkrili, da je skoraj pet odstotkov Applovih računalnikov ranljivih, ker na njih tečejo zastarele verzije firmwara. Čeprav Apple nadgradnjo firmwara (EFI) od leta 2015 ponuja in izdaja skupaj s posodobitvami ostale programske opreme, pa v številnih primerih nadgradnja spodleti, o čemer uporabniki niso obveščeni. Da ne gre zgolj za teoretično ranljivost, priča dejstvo, da je Apple nekaj posodobitev EFI izdal prav zato, da je onesposobil aktualne napade.

EFI je koda, ki se naloži najprej ob zagonu računalnika in poskrbi, da računalnik najde vso strojno opremo in uspešno nadaljuje zaganjanje operacijskega sistema. Zaradi tega je napad na EFI zelo nevaren, ker prek njega hekerji pridobijo praktično neomejen nadzor nad računalnikom. V praksi se je to že dogajalo, denimo z napadi Thunderstrike in Thunderstrike 2, isti vektor pa je s pridom izrabljala tudi CIA. Zaradi tega je nadgrajevanje firmwara vsaj tako pomembno kot redne posodobitve uporabniške programske opreme.

Apple je leta 2015 začel izdajati oboje posodobitve v istem paketu, da bi ljudje resnično dobili vse nadgradnje. Toda to se ne zgodi vedno. Analiza 73.000 računalnikov Mac, ki so jo opravili pri Duo, je pokazala, da 4,2 odstotka računalnikov uporablja verzijo EFI, ki ni najnovejša in priporočena zanje. Številni so bili zato tudi ranljivi na zgoraj omenjene napade. Problem je, da uporabniki o zastareli verziji EFI-ja niso obveščeni in tako niti ne vedo, da so v nevarnosti.

V novi verziji macOS High Sierra je Apple sicer pripravil orodje, ki preverja nameščen firmware, a ne izpolnjuje pričakovanj. Orodje namreč preveri zgolj, ali je nameščen Applov firmware ali kakšna zlonamerna inačica, ne opozarja pa na zastarelost Applove verzije. Zato so avtorji prispevka pripravili orodja, s katerimi lahko preverite verzijo EFI-ja. Ob tem avtorji dodajajo, da čeprav so preiskovali Applove računalnike, to ne pomeni, da je težava omejena nanje. Tudi računalniki z Windows in Linux imajo svoj firmware, kjer je situacija bistveno bolj zapletena, ker je proizvajalcev matičnih plošč še precej več. Toda utemeljeno lahko predvidevajo, da tudi tod številni poganjajo zastareli firmware.

30 komentarjev

Markoff ::

pa v številnih primerih nadgradnja spodleti, o čemer uporabniki niso obveščeni

In kaj bodo uporabniki naredili, da bo nadgradnja uspešna, če avtomatični postopki nadgradnje ne delujejo? Brali desetine vrstic navodil, kaj narediti? Večina uporabnikov še vedno ne bo (znala/hotela) izvesti ročne nadgradnje...
Ad astra per aspera

Ales ::

Uporabnik odnese napravo na servis?
http://www.modronebo.net
Domene, gostovanje, strežniki, design

Markoff ::

Ales je izjavil:

Uporabnik odnese napravo na servis?

Se ti zdi, da je to običajna praksa uporabnikov v zadnjih 20 letih (preventiva, plačljivi servis)?
Ad astra per aspera

bbf ::

Resen Apple user (ali tudi PC user), bo to tudi naredil, neresni bodo pa bemtili po forumih..

Ales ::

Markoff je izjavil:

Ales je izjavil:

Uporabnik odnese napravo na servis?

Se ti zdi, da je to običajna praksa uporabnikov v zadnjih 20 letih (preventiva, plačljivi servis)?

Odvisno od motivacije. Če bodo uporabniki pravilno obveščeni o potrebi po ukrepanju in dovolj motivirani, bodo zadevo rešili. Kdor ne zna sam bo verjetno prvo vprašal kolege, potem morebiti sledi servis. Če pa ne vedo, da imajo problem ali če mislijo, da je nepomemben, pa se seveda ne bo nič premaknilo.

Po mojih izkušnjah tisti manj vešči uporabniki prej povprašajo za pomoč ali kar nesejo zadevo na servis, kot uporabniki, ki nekaj več znajo sami (ali mislijo, da znajo).

Je pa res, da je EFI ena taka fajn črna luknja, kar se poznavanja tiče. Tudi malo bolj vešči uporabniki ne vedo, kaj za ena hruška je to. Če imaš povrh tega nadgradnje, ki naj bi zadevo posodobile pa jo ne in ne javijo error pri tem, je še toliko večja možnost, da fališ, da bi sploh karkoli bilo narobe.
http://www.modronebo.net
Domene, gostovanje, strežniki, design

Mesar ::

Go Apple go!
To Quattro or not to Quattro?

Zgodovina sprememb…

  • predlagalo izbris: zee ()

Han ::

Gnile japke. :P

rolihandrej ::

Me zanima koliko % ljudi z Windows/Linux redno posodablja UEFI na svojih matičnih/laptopih. Bi rekel, da močno pod 10%. Iz tega pogleda je 4% ne-nadgrajenih macov en pljunek v morje.

Verzijo firmwarea je pa zelo enostavno preveriti drugače (Apple menu -> About this mac -> System Report -> Boot ROM version ter SMC version. Edino mogoče malo težje je ugotoviti katera je najnovejša.
http://www.r00li.com

Manu ::

Han je izjavil:

Gnile japke. :P

Verjetno si spregledal zadnji del novice, ki pravi tako:

Ob tem avtorji dodajajo, da čeprav so preiskovali Applove računalnike, to ne pomeni, da je težava omejena nanje. Tudi računalniki z Windows in Linux imajo svoj firmware, kjer je situacija bistveno bolj zapletena, ker je proizvajalcev matičnih plošč še precej več. Toda utemeljeno lahko predvidevajo, da tudi tod številni poganjajo zastareli firmware.
Sredi spečih in nepazljivih je modrec buden in pazljiv -
po poti gre kot hiter konj, ki je prehitel šibko kljuse.

Dr_M ::


Bi rekel, da močno pod 10%.


In kako si prisel do te stevilke?
Doba pametnih naprav in neumnih ljudi.

Markoff ::

rolihandrej je izjavil:

Me zanima koliko % ljudi z Windows/Linux redno posodablja UEFI na svojih matičnih/laptopih. Bi rekel, da močno pod 10%. Iz tega pogleda je 4% ne-nadgrajenih macov en pljunek v morje.

Zakaj pa bi posodabljal (tudi kot power user), če nova verzija popravlja obskurne funkcionalne napake, ki veliki večini uporabnikov ne koristijo. 0 benefit, all the risk. Kako pa naj uporabnik ve, kateri patch popravlja res pomembno varnostno luknjo? Jaz sem v življenju samo enkrat updateal firmware MB, pa še to samo zaradi nagradnje CPU. Večinoma, kadar sem gledal release notes, so popravki funkcionalne (nenujne) narave. Varnostnih pomanjkljivosti v BIOS/UEFI, ki jih s patchi zaflikaš, prav veliko nisem opazil. Kako naj bi navadni uporabniki?
Ad astra per aspera

Furbo ::

Za PC raje sploh ne grejo govoriti, ker bodo procenti ravno obratni, proizvajalce pa briga.
Lp,f

Dr_M ::


0 benefit, all the risk.



Ravno to je tisto, strasenje folka za prazen nic. Update biosa oz uefija ni tak bav bav. Ja, obstaja nek majhen rizik, ampak so se dosti hujse stvari v zivljenju, pa jih delas vsakodnevno.
Jest sem ze ogromno stvari zrihtal pri compih na tak nacin, tudi z modifikacijo uefija, tko da benefit je vedno vecji kot 0.
Doba pametnih naprav in neumnih ljudi.

MrStein ::

No ja, brickan PC, ker je proizvajalec raje prišparal 33 centov pri sistemu nadgradnje FW...

Za večino userjev je odgovor jasen "Ne, razen če imaš pištolo prislonjeno na sence."
Teštiram če delaž - umlaut dela: ä ?

Dr_M ::


No ja, brickan PC, ker je proizvajalec raje prišparal 33 centov pri sistemu nadgradnje FW...


Verjamem, da ce se zelo potrudis, ti lahko uspe kaj takega. Ampak to moras bit ze mal talenta.
Meni je sicer uspelo, na 100 uspesnih flashanj, da enkrat ni uspelo, ampak krivda je bila moja (pa se to je bilo ze mnogo let nazaj, ko se ni bilo toliko varnostnih mehanizmov)
Doba pametnih naprav in neumnih ljudi.

MrStein ::

Kdo je posiljen, si je sam kriv.press

Če zmanjka elektrike, boš kaj? Kupil UPS in ga namestil s časovnim strojem? Pa je to samo en primer.
Teštiram če delaž - umlaut dela: ä ?

Dr_M ::

Ce zivis v kraju, kjer velikokrat zmanjka elektrike, je fino imet UPS.

Raznorazni izgovori za slabo varnost (kar v tem primeru je), so skrajno neumni in opravicevanje tega zelo neumno.
A doma tudi vhodnih vrat ne zaklepas, ker se ti lahko kljuc zlomi?
Doba pametnih naprav in neumnih ljudi.

MrStein ::

Skrajno neumen primer, če se poslužim tvojega besedišča.
Verjetnost zloma je zanemarljiva, pa še predvideti se da.
Brickflash pa pride nenapovedano.
Teštiram če delaž - umlaut dela: ä ?

Furbo ::

Jaz rad posodabljam, kupujem pa zato izključno plate z dual bios.
Lp,f

Pentium ::

Naredil vsaj 1000 posodobitev BIOS/UEFI in le dvakrat (mogoče trikrat) imel bad flash. Kar pa reši USB SPI programmer ali kak rescue USB. Posodablja se preventivno, ob nadgradnjah OS ali podiranjih sistema. Takšna je politika že najmanj 15 let.

Naštejem lahko vsaj 100 primerov, kjer je posodobitev BIOS-a bila vsekakor dobrodošla (dodatna podpora za novejše OS, hitrejši boot, itd.). Verjetno bi bila številka še dosti večja, vendar sem ogromnokrat posodobil BIOS še pred namestitvijo OS in ni bilo možnosti preveriti delovanje s prejšnjimi verzijami BIOS-a..
Okoli 50 primerov, kjer je bila posodobitev BIOS-a nujna oz. je odpravila težave. Nedolgo nazaj na čisto novi X299 platformi (PC za 1600EUR), ki je povzročala kolegu sive lase že več kot en mesec. Pameten "serviser", ki je pred mano delal diagnostiko dotičnega PC-ja, je dejal, da se BIOS nikoli ne posodablja in s tem ne bo več garancije, blabla, itd.

Notri štejem tudi posodobitve BIOS-a na prenosnikih, kjer se je že večkrat zgodilo, da se je BIOS/UEFI zaklenil oz. prišel v neko zanko in prenosnik ni zaznal niti trdega diska in je posodobitev BIOS-a pomagala kot edini aspirin.

Iz glave vem za le en primer, kjer je bil zadnji BIOS problematičen (IBM ali Lenovo desktop zadeva) in je bilo potrebno revertati na eno verzijo starejšega od najnovejšega objavljenega. Problem je bil bizaren, namreč delalo je le eno jedro CPE namesto obeh.


Če potegnem črto, posodobitve BIOS/EFI/UEFI so nujno "zlo", ki se v praksi izkaže kot neka stvar, ki jo je najbolje narediti takoj, ko se začne kaj sumljivo obnašati ali pa se sistem nadgrajuje. Kdor trdi nasprotno, nima ravno pojma.
Linux: Be root,
Windows: Re boot.
Mac: Do work.

Zgodovina sprememb…

  • spremenil: Pentium ()

kamikaze5 ::

Pentium je izjavil:

Naštejem lahko vsaj 100 primerov, kjer je posodobitev BIOS-a bila vsekakor dobrodošla (dodatna podpora za novejše OS, hitrejši boot, itd.).


No, pa naštej.

Markoff ::

Dr_M je izjavil:


0 benefit, all the risk.



Ravno to je tisto, strasenje folka za prazen nic. Update biosa oz uefija ni tak bav bav. Ja, obstaja nek majhen rizik, ampak so se dosti hujse stvari v zivljenju, pa jih delas vsakodnevno.
Jest sem ze ogromno stvari zrihtal pri compih na tak nacin, tudi z modifikacijo uefija, tko da benefit je vedno vecji kot 0.

Če bi imel čas in voljo, bi ti našel lep kup primerov, pri katerih se odpravljajo obsurne napake. Nekaj takega kot 5% prehitro blinkanje smernih kazalcev na Renault Clio. Od popravka nimam nič, vedno pa obstaja možnost (četudi majhna) za brickanje ali druge nevšečnosti.

0 benefit, all the risk.

Ne govorim o resnih varnostnih pomanjkljivostih, še enkrat preberi, kaj sem napisal.

Dr_M je izjavil:

Ce zivis v kraju, kjer velikokrat zmanjka elektrike, je fino imet UPS.

Raznorazni izgovori za slabo varnost (kar v tem primeru je), so skrajno neumni in opravicevanje tega zelo neumno.
A doma tudi vhodnih vrat ne zaklepas, ker se ti lahko kljuc zlomi?

Fino je vsak dan jesti tudi super zdravo hrano, če imaš čas in denar za to. Fino je nikoli ne prekršiti nobenega prometnega predpisa. Fino je cele dneve viseti po forumih in iskati patche za vsako obskurno napravico, ki jo imaš v predalu. Marsikaj je fino.

Ti moram najti in nalimat tisti ultimativi graf, kjer je na X osi stopnja varnosti, na Y pa strošek? Pa to velja za čisto vsako obvladovanje tveganj known to universe. Premalo not good, preveč not good. Zdravorazumsko, zmerno, that's the key.

Ja, v tem primeru je smiselno pećat MB, če veš za luknjo in popravek. Ampak tale je redka izjema od običajne vsebine pećev MB.
Ad astra per aspera

Zgodovina sprememb…

  • spremenilo: Markoff ()

Markoff ::

Pentium je izjavil:

Kdor trdi nasprotno, nima ravno pojma.

Res lepo si argumentiral pomembnost pećiranja firmwarea. Resno.

Potem pa izstreliš takšno arogantno verbalno diarejo. Tudi resno.
Ad astra per aspera

Dr_M ::

Markoff ok si me preprical, racunalnik ni orodje zate. Probaj lopato ali kramp. Razen ce imas poleg prazne glave, se dve levi roki, potem imas pa problem.
Doba pametnih naprav in neumnih ljudi.

MrStein ::

Ko zmanjka argumentov gremo žaliti.
Vedno vžge!
Teštiram če delaž - umlaut dela: ä ?

Markoff ::

Dr_M je izjavil:

Markoff ok si me preprical, racunalnik ni orodje zate. Probaj lopato ali kramp. Razen ce imas poleg prazne glave, se dve levi roki, potem imas pa problem.

Lepo si me nasmejal, ni kaj. Nič ne izkaže popolnega debatnega debakla bolj kot nenaden prosti pad v globino poceni udarcev.
Ad astra per aspera

Ales ::

Par čisto preprostih dejstev se je tudi treba zavedati:

- na videz obskurne napake lahko vplivajo na pomembne funkcije v sistemu, na načine, ki niso očitni
- popravki resnih varnostnih napak so včasih zamolčani.

Kar se slednjega tiče je žal tako, da včasih same organizacije namenoma zamolčijo vzroke za nek popravek. Kar se še dogaja pa je enostavno to, da sami razvijalci popravijo kako lastno neumnost, ki je ne želijo obešati na velik zvon niti znotraj lastne organizacije, kaj šele javno. Nihče ravno ne želi izpasti majmun.
http://www.modronebo.net
Domene, gostovanje, strežniki, design

mojster_joni ::

appli so brez bugov nehajete žalit najboljšo firfmo na svetu z vaših razbitih oken in čudnih lunixov

RC37 ::

Pri vsem tem je dejstvo, da macOS temelji na unixu, ki pa je normalnemu userju preveč zakompliciran. In unix je znan po tem, da ob napakah ali ti vn pljune kak "bad superblock error" ali pa gre naprej kot da se ni nič zgodilo in ima kasneje težave. Pa tudi če bi uporabnik videl kako napako (med posodabljanjem) bi bil verjetno zapis nerazumljiv in mu ne bi koristil. Bi bilo pa fajn videt, da bi vsaj sistem kot tak na koncu napisal bolj user-friendly povzetek. By the way there is no such thing as *perfect* os.

mojster_joni ::

točneje na enem od bsdjev, ampak gui reči so pa spisali sami


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Številni Applovi računalniki ranljivi zaradi neposodobljenega firmwara

Oddelek: Novice / Varnost
302595 (563) mojster_joni
»

Le nadgradnja BIOS-a je potrebna za dvanajstjedrni Mac Pro iz leta 2009

Oddelek: Novice / Ostala programska oprema
143015 (1749) lurker
»

Apple iztožil Psystar

Oddelek: Novice / Tožbe
302828 (2032) opeter
»

apple prenosniki

Oddelek: Strojna oprema
352389 (1823) IceIceBaby
»

Bios in 1tb disk

Oddelek: Strojna oprema
171222 (923) ender

Več podobnih tem