Mac EFI漏洞问题全面总结

主要观点

一项最新研究指出，大量Mac设备仍然存在已知漏洞，这些漏洞完全破坏了设备的安全性，且几乎无法检测或修复，即使设备已经安装了所有可用的苹果安全更新。这些漏洞主要存在于Extensible Firmware Interface（EFI）中，EFI是位于计算机主板上的软件，负责在Mac启动时首先运行。

关键信息

1. 漏洞来源：EFI中的已知漏洞，包括Thunderstrike、ThunderStrike 2以及CIA的攻击工具Sonic Screwdriver。
2. 研究结果：Duo Security对73,000多台Mac的分析显示，平均4.2%的Mac运行的EFI版本与硬件型号和操作系统版本不符。47种Mac型号仍然容易受到Thunderstrike攻击，31种容易受到ThunderStrike 2攻击，至少16种型号未收到任何EFI更新。
3. 难以检测和修复：EFI攻击特别危险，因为它们从Mac启动的第一条指令就开始控制设备，且这种控制远超过操作系统或应用程序漏洞带来的影响。EFI感染极难检测和修复，甚至可以在硬盘被擦除或替换后仍然存在。

重要细节

1. 苹果的响应：苹果表示正在努力加强固件安全性，并在macOS High Sierra中引入了每周自动验证Mac固件的功能。然而，Duo Security的研究人员发现，新功能eficheck并未在用户运行过时但官方的EFI版本时发出警告。
2. 固件更新问题：自2015年起，苹果将软件和固件更新捆绑在一起，以确保用户自动安装所有安全修复。然而，研究显示，新的固件更新机制仍存在多个问题，包括某些Mac型号未收到更新，或收到版本较旧的更新。
3. 攻击的复杂性：EFI漏洞利用目前被认为是计算机攻击的前沿技术，需要大量专业知识，并且在许多情况下需要短暂的物理接触目标计算机。因此，普通用户可能不是此类攻击的目标，但记者、律师和政府人员应考虑将EFI攻击纳入威胁模型。

解决方案

1. EFIgy工具：Duo Security发布了一款名为EFIgy的免费工具，方便用户检查Mac是否运行存在已知漏洞的EFI版本。
2. Windows和Linux用户：对于Windows和Linux用户，验证UEFI版本的过程更为复杂，可能需要通过命令行或特定方法进行，且对于老旧设备，最好的做法可能是退役。

结论

Duo Security的研究揭示了Mac世界中的一个安全盲点，这个问题很可能也广泛存在于Windows和Linux生态系统中。随着研究结果的公开和更多Mac设备的测试，人们将能够更好地了解这个问题的普遍性，而Windows和Linux系统受影响的程度则需要更多时间来明确。