Một chuyên viên bảo mật OS X có tên Pedro Vilaca vừa phát hiện ra một lỗ hổng trong hệ điều hành này có thể bị lợi dụng để chiếm quyền kiểm soát máy tính ngay cả khi người dùng đã format ổ hệ thống.
Lỗi này khai thác việc cơ chế bảo mật fimware EFI không được kích hoạt ngay khi máy vừa phục hồi từ chế độ sleep, từ đó can thiệp vào firmware và biến thành rootkit.
Những model bị ảnh hưởng là các dòng Mac bán ra trước thời điểm giữa năm 2014, tất cả đều chạy firmware mới nhất từ Apple. Có vẻ như đây là một lỗ hổng “zero day”, tức là mới được phát hiện lần đầu tiên và trước giờ chưa ai biết tới. Tuy nhiên, với những mẫu Mac mới ra mắt trong khoảng một năm trở lại đây thì lại không bị, có thể do Apple đã biết vấn đề này và vá nó lại.
Nói chi tiết hơn về lỗ hổng, Vilaca giải thích rằng, bình thường sẽ có một cơ chế bảo mật được dùng để bảo vệ firmware EFI của máy. Tuy nhiên, với những model Mac kể trên, thì cơ chế này không được kích hoạt ngay sau khi máy phục hồi từ trạng thái sleep, dẫn đến việc tin tặc có thể lợi dụng để truy cập vào thiết bị của bạn. Ngoài ra, lỗ hổng có thể bị khai thác từ xa chứ không cần can thiệp vật lý.
Để làm được việc đó, tin tặc sẽ cần phải lấy được quyền root, quyền cao nhất trong OS X, thông qua một website hoặc một email chứa mã độc (cũng có thể thông qua các cách khác). Hắn ta có thể dùng đoạn mã độc này để chờ đến khi máy Mac đi vào chế độ sleep (hoặc ép sleep ngay lập tức), sau đó flash đè firmware có chứa mã độc vào BIOS ngay thời điểm người dùng vừa mở nắp thiết bị lên.
Khi đã thành công, mã độc sẽ hoạt động ở dạng rootkit nằm ẩn sâu trong firmware nên rất khó phát hiện. Ngay cả khi người dùng cài lại OS hay format ổ đĩa thì con rootkit này cũng không bị xóa đi.
Cũng theo Vilaca, lỗ hổng nói trên có thể được khắc phục bằng cách sửa lại firmware hiện tại cho an toàn hơn, tức là có hi vọng sửa lỗi bằng một bản cập nhật phần mềm. Hiện chưa có phản hồi gì từ Apple.
Theo Tinhte