示意圖,與新聞事件無關。

圖片來源: 

Apple

維基解密繼月初爆料後,周四再公佈第二批美國中情局(CIA)文件,揭露CIA曾針對Mac電腦及iPhone發展的攻擊工具。
 
這批名為暗物質(Dark Matter)的文件是維基解密為月初Vault 7行動的第二部份,包含CIA如何發展EFI/UEFI及韌體惡意程式,且長期潛伏在Mac電腦和iPhone上。
 
維基解密揭露一個名為Sonic Screwdriver的工具,能在Mac筆電或桌機開機時,在周邊裝置上執行程式碼。它的感染器儲存在蘋果裝置的Thunderbolt連接埠上的韌體上,藉此感染任何以像是USB隨身碟實體存取Mac電腦的裝置,躲避韌體上的密碼防護而植入CIA發展的惡意程式。

事實上,Sonic screwdriver使用的Thunderbolt攻擊手法最早是見於2012年黑帽年會中,後來由安全研究人員Trammell Hudson首度發表概念驗證攻擊。媒體推斷CIA可能是在讀取他的簡報後才開發這項工具,當時必須實體存取到Mac電腦一段時間才能攻擊。由於Hudson之後又將其「升級」為可遠端攻擊,因此如果CIA是以他為師,則Sonic screwdriver也可能發展出遠端攻擊的能力。
 
而名為DarkSeaSkies的間諜程式則可植入並潛伏在蘋果MacBook Air 的EFI韌體,它是由三種分別植入EFI、核心空間(kernel space)及使用者空間(user space)的間諜程式組成,包括DarkMatter、SeaPea及NightSkies。
 
這批文件還介紹名為Triton的MacOS X惡意程式,可植入硬碟竊取文件,它還有一個儲存在EFI的無磁碟版姐妹品Der Starke,它比Triton更難偵測,還能和Sonic Screwdriver攻擊程式併用,危險性更高。文件顯示,Der Starke 1.4曾成功入侵2013年的OS X 10.7,迄今CIA還持續更新,目前正在發展Der Starke 2.0版。
 
除了Mac電腦外,這批文件還公佈了iPhone攻擊程式。CIA於2008年發展的NightSkies 1.2可以存取iPhone中的聯絡人、簡訊及通話紀錄,再上傳CIA的伺服器,還可透過指令遠端下載工具。不過它的感染方式相當古老,只能用iTunes將它從電腦傳到iPhone上,而且僅影響2009年推出的iPhone 3G及iOS 2.1。文件顯示CIA主要是感染iPhone供應鏈以植入新出廠的手機。
 
所幸上述文件涉及的軟體瑕疵,都已經過蘋果修補。文件發佈後,蘋果對媒體發表聲明指出,文件中提及的iPhone漏洞已在2009年修補完成,而所有Mac漏洞在2013年後也都不復存在。蘋果也否認與維基解密有過任何交涉,並未在私下接獲該組織任何資訊。


Advertisement

更多 iThome相關內容