2009/10/30

La tastiera infettabile del Mac

Si può infettare una tastiera? Sì, con Apple si può. Think different


Ne avevo accennato in un articolo di qualche mese fa e la storia è saltata fuori più volte nel corso della diretta radiofonica del Disinformatico, per cui ve la racconto in dettaglio anche se non è fresca fresca: le tastiere esterne USB o Bluetooth di Apple si possono infettare con software ostile. La vulnerabilità è stata annunciata a luglio 2009 e a quanto mi risulta non è stata ancora risolta.

Alla conferenza di sicurezza informatica DEFCON 2009, tenutasi appunto a fine luglio scorso a Las Vegas, un ricercatore che si fa chiamare "K. Chen" (immagine qui sopra) ha dimostrato gli effetti di questa falla, che ha poi documentato con un video molto eloquente. Una tastiera infettata in questo modo può essere collegata a qualunque Mac e prenderne il comando, registrando quello che viene digitato e poi riscrivendolo a rovescio. E' come se il computer fosse posseduto (e in effetti lo è, ma non da un'entità ultraterrena):



Come funziona? In sintesi, le tastiere Apple hanno del software a bordo (formalmente si chiama firmware) che ne gestisce il funzionamento tramite circa 8 kilobyte di memoria flash e 256 byte di RAM. Alterando questo software tramite un aggiornamento fasullo, la tastiera può cambiare comportamento.

Per esempio, può essere trasformata in un keylogger, ossia un registratore di tutto quello che viene digitato (1 kilobyte della flash è libero, quindi si possono registrare un bel po' di caratteri), oppure può impartire al computer connesso qualunque comando a scelta dell'aggressore: per esempio "connetti il computer della vittima al mio e dammi il pieno controllo per iniettargli altra porcheria". Ovviamente in computerese quest'ultimo concetto si esprime in altro modo, ma ci siamo capiti: lo spiegone tecnico è nel white paper e nella presentazione di K. Chen qui.

Siccome il firmware opera indipendentemente dal sistema operativo del computer, non c'è antivirus che tenga e la tastiera può prendere il comando direttamente durante l'avvio del Mac. E dato che il firmware risiede nella tastiera anziché nel computer, anche se azzerate il contenuto del disco rigido e reinstallate tutto da capo il Mac rimane infetto. Simpatico.

Come se non bastasse, quest'attacco non richiede l'accesso fisico alla tastiera da infettare, ma può essere attivato via Internet utilizzando altre falle del mondo Mac e un po' di psicologia (social engineering), per esempio spacciandolo per un aggiornamento regolare del firmware, dato che in effetti gli aggiornamenti di questo tipo capitano davvero.

Il problema è mitigabile da parte di Apple bloccando il firmware in modo che non sia modificabile oppure rilasciando aggiornamenti firmware dotati di firma digitale che venga verificata e da parte degli utenti evitando di usare tastiere esterne Apple. La falla mi risulta ancora aperta almeno fino al mese scorso, quando K. Chen era alla conferenza Toorcon di San Diego a presentarla.

Fonti: DigitalSociety.org, SemiAccurate.com.

Nessun commento:

Posta un commento

Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.

Pagine per dispositivi mobili