Uma descoberta recente mexeu com os fóruns de tecnologia da web nos últimos meses. Trata-se de um modo de infectar Macs por um malware virtualmente indetectável, e que não pode ser removido. O novo ataque tem sido chamado de Thunderstrike – uma vez que o computador pode ser infectado usando um adaptador modificado Ethernet/Thunderbolt.

Quer saber como funciona esse ataque e como pode proteger seu Mac desse vírus indetectável? Então, confira nosso artigo:

Como funciona o Thunderstrike?

O ataque foi descoberto pelo pesquisador Trammell Hudson, quando seu chefe pediu para que ele analisasse a segurança dos notebooks da Apple. Ele utilizou conceitos de engenharia reversa para revisar os relatórios de rootkits do Mac para ver se seria possível corrigir seu firmware e verificar sua segurança.

Depois de inicialmente descobrir que a ROM de inicialização pode ser adulterada se o notebook for desmontado para se ter acesso a um chip soldado na placa-mãe, ele refinou essa técnica para que o ataque pudesse ser realizado através da porta Thunderbolt dos Macs.

A porta Thunderbolt fornece uma maneira de obter o código de execução do computador quando o sistema é inicializado, conectando o barramento PCIe com o mundo exterior. No momento do boot, o firmware do Mac procura Option ROMs para serem executadas para os dispositivos conectados ao computador, tornando possível a instalação do vírus logo na inicialização do sistema.

Entenda como o vírus do Mac funciona

Já que o programa invasor se instala no computador desde o primeiro boot no firmware OS X, não há nada que escaneie a presença do invasor no MAC. Dessa forma, o vírus pode controlar o sistema desde o primeiro momento, o que permite que ele registre as teclas digitadas, incluindo chaves de criptografia de disco, coloque backdoors no kernel OS X e desvie as senhas do firmware.

E uma vez que o vírus se instalou no sistema, ele é incrivelmente difícil de remover. Ele não pode ser removido por programas, já que controla as chaves de assinatura e a atualização de rotinas. Formatar o computador e reinstalar o OS X também não irá removê-lo, nem substituir o SSD, uma vez que não há nada armazenado na unidade.

Entenda como o vírus pode infectar seu computador

Como o computador só pode ser conectado através de uma entrada física, como o Thunderbolt, o seu computador poderá ser infectado se cair “nas mãos erradas”. Por isso, não é recomendado deixar seu laptop sozinho. Afinal, basta alguns minutos a sós com o seu notebook, e o Thunderstrike fará com que o firmware de inicialização ROM seja substituído, independentemente de senhas de firmware ou de criptografia de disco.

Então, enquanto você está tomando o café da manhã no hotel durante uma conferência e deixa seu Mac no seu quarto, o serviço de quarto pode instalar o vírus, enquanto arruma sua cama e substitui suas toalhas. O Thunderstrike pode ser efetivo em qualquer Mac com a entrada Thunderbolt — entre eles o MacBook Pro, Air ou Retina.

Como a Apple trabalha para consertar o problema

A boa notícia é que a Apple atualmente trabalha em uma atualização que irá prevenir que códigos maliciosos sejam escritos no Boot do computador via a porta Thunderbolt. No entanto, esta atualização ainda não protegeria o sistema de ter o boot ROM adulterado através do chip, como foi explicado.

E então, o que acha do ataque Thunderbolt para os Macs? Como você pensa que isso pode atingir a Apple, marca mais valiosa do mundo atualmente? Compartilhe sua opinião com a gente nos comentários!