(Bild: Trammel Hudson)
Der Mac-Hersteller arbeitet an einem Warnsystem, das Nutzer über plötzliche Veränderungen der Firmware in Kenntnis setzt ? und Daten über den Vorfall an Apple übermittelt. Dies könnte ein unbemerktes Einschleusen von EFI-Rootkits verhindern.
Mit dem nächsten Update für macOS Sierra führt Apple möglicherweise eine Warnung bei unerwarteten Veränderungen der Firmware ein: Die Beta von macOS 10.12.5 enthält eine neues eficheck-Tool, das einen Hinweis einblendet, sobald es EFI-Änderungen (Extensible Firmware Interface) bemerkt, wie Entwickler berichten. Eficheck sei schon Teil der Beta von macOS 10.12.4 gewesen, ist aber in der finalen ? an Nutzer ausgelieferten Fassung ? nicht mehr enthalten.
Apple will Daten über Firmware-Modifikation
Das System hat ?eine unerwartete Veränderung der EFI-Firmware entdeckt?, führt einer der neuen Warndialoge an ? und bittet den Nutzer um Erlaubnis, Daten über die Modifikation an den Hersteller übermitteln zu dürfen. Apple prüfe die Integrität der Firmware, ?um Probleme mit Systemstabilität und Sicherheit zu verhindern?, schreibt das Unternehmen. Ein Hinweis auf ein Apple-Support-Dokument mit weiteren Informationen führt derzeit ins Leere.
Ein weiterer in der Betaphase gesichteter Dialog informiert lediglich im typischen Stil eines Absturzberichtes darüber, dass Änderungen an der Firmware entdeckt worden seien ? die man nun wahlweise Apple mitteilen kann. In der Betaphase tauchten die Warnhinweise teilweise ohne ersichtlichen Grund auf, so Entwickler. Ob der Text der Dialoge sich noch ändert, bleibt offen.
Thunderstrike-2-Sicherheitsforscher arbeiten für Apple
Die neue Eficheck-Kernel-Extension könnte auf die Arbeit zweier Sicherheitsforscher zurückgehen, die Apple im vergangenen Jahr eingestellt hat. Diese hatten zuvor mit „Thunderstrike 2“ für Aufsehen gesorgt: Die Entwickler demonstrierten mehrere Schwachstellen in der Mac-Firmware, die das Einschleusen eines resistenten Schädlings ermöglichen, der sich über Peripherie oder Apples Thunderbolt-auf-Ethernet-Adapter weiter verbreiten kann.
Mit dem BIOS-Rootkit LightEater hatten die Forscher auch gezeigt, dass bei vielen weiteren PC-Herstellern ebenfalls Schwachstellen auf Firmware-Ebene zu finden sind ? die oft nicht oder erst nach langer Zeit gestopft werden. (lbe)