Bootkit OS X maakt Mac tot permanente slaaf

De bootkit vervangt zodra deze de kans krijgt de firmware van de Mac die zorg draagt voor het opstarten. De malware is daardoor alle beveiliging van de Mac te snel af. Vervolgens stelt Thunderstrike de kwaadwillende in staat ongemerkt nieuwe achterdeurtjes te creëren voor het uitvoeren van handelingen op de besmette Mac . Er is geen methode voor handen om een bootkit op de Mac op te sporen.

ArsTechnica, dat de informatie over de bootkit oppikte op het Chaos Communcation Congress eind december, schetst een aantal heel plausibele scenario's waarin de bootkit eenvoudig op de machine kan worden gezet. Zo is bekend hoe de Amerikaanse overheid nieuwe apparatuur voorziet van achterdeurtjes door verzendingen te onderscheppen, maar ook bij een grenscontrole kan heel eenvoudig even de computer uit het zicht van de eigenaar worden genomen om de installatie te doen. Ook voor personeel met toegang een hotelkamer is het aanbrengen van de bootkit een koud kunstje.

Verwijderen malafide firmware is vrijwel onmogelijk

Het is voldoende om de besmette randapparatuur aan de Thunderbolt-poort te koppelen aan het begin van het opstartproces van de Mac. Het randapparaat injecteert vervolgens Option ROM in de extensible firmware interface (EFI). OptionROM vervangt de RSA encryptiesleutels die de Mac gebruikt om te controleren of alleen geautoriseerde firmware is geïnstalleerd. Vervolgens kan het Thunderbolt-apparaat de gemanipuleerde firmware installeren. De nieuwe firmware is alleen te verwijderen door iemand die beschikt over de nieuwe encryptiesleutel uit de OptionROM.