即便你的操作系统和应用都更新了,但还有一个安全威胁隐藏在深处。新研究表明,Mac机上预启动软件往往过时老旧,让果粉面临更大的恶意软件攻击风险。
安全公司Duo Security对7.3万台苹果Mac机的分析显示,因为老旧过时的固件,用户毫无所觉地暴露在复杂恶意软件攻击之下。从硬件模型、操作系统(OS)版本和随OS发布的可扩展固件接口(EFI)版本来看,企业环境里被分析的73,324台Mac机中,4.2%的EFI版本与预期不符。
分析的某iMAC模型(2015年底推出的21.5英寸版)中,43%(2,190台中的941台)运行的是过时的不安全版本固件。2016年底的3款13英寸 MacBook Pro,呈现出25%到35%的异常率。2011年初的2款 MacBook Pro,与预期EFI固件版本不符的占15%和12%。
操作系统版本不同,偏离预期EFI固件的比例也明显不同。macOS 10.12 (Sierra) 10%的异常率明显高于平均值;然后就是 OS X 10.11 (El Capitan),为3.4%;最后是OS X 10.10 (Yosemite) ,是2.1%。
更新的App,过时的固件
该研究显示,Mac粉很容易使用OS和应用紧跟时代,EFI固件却过时多年的系统,让他们的Mac计算机对公开揭露的漏洞和漏洞利用程序毫无防范。
被分析的7万多台Mac机中,共有3,400台(4.6%)的系统持续接收软件安全更新,却不接收EFI固件更新。
Duo Security分析的OS X/macOS(从10.10版到10.12版)主机中,Mac硬件和OS的16种搭配组合,从不接收任何EFI固件更新。但却持续接收来自苹果的OS和配套软件的安全更新。
研究人员被被这其中的更新差距吓了一跳。
考虑到最新版本的EFI固件应随OS更新自动安装,该差异之大,令人心惊。本来,仅特殊情况下,当前EFI版本才会与随当前OS版本发行的EFI不相符的。
雷霆一击
固件安全缺陷可将用户暴露在"雷击(Thunderstrike)"漏洞攻击之下。维基解密的Vault 7数据大放送中曝光的NSA黑客工具,同样依靠过时固件。
Duo Security称,其研究引发了对苹果在EFI固件更新质量水平上的质疑,毕竟它在软件安全更新上干得漂亮得多。这对比实在是太强烈了。
对苹果更新包的进一步分析,也凸显出其EFI程序的错误包含:2017-001安全更新(10.10和10.11)中的43个版本EFI程序,比之前2016-003(10.11)和2016-007(10.10)更新中发布的EFI程序版本还要老旧。
这表明了一种退步,或者说是发布质量的失控――错误的EFI固件版本被放到了OS安全更新中。
Duo Security猜测,可能有什么东西干扰了捆绑EFI固件更新的安装,让系统继续运行老旧的EFI版本。
部分问题在于:苹果系统的EFI固件安全状态基本上没什么可见性。EFI固件受到固件补丁支持的时长也没有个公开的时间线,也没有任何列表指出哪些系统不再接收固件更新――尽管继续接收软件安全更新。企业补丁部署工具或许也是个问题,至少某些案例中是。
但该固件安全漏洞的部分原因,可能是糟糕操作员的失误,而非苹果的错。Mac系统管理员无视EFI固件更新的重要性是常态,或者常常因为其部署中的历史遗留问题,而主动移除了EFI固件更新。应用EFI固件更新的过程,曾是需要IT支持员工手动操作的费劲流程。
因此,很多Mac系统管理员,渐渐就决定移除或禁用随OS或安全更新的EFI固件更新的部署了,他们决定等需要的时候再"面对它"。
但Duo Security表示,这种方法已不再具有可持续性,建议EFI固件更新还是随OS或安全更新交付并应用为妙。
完整报告:
https://duo.com/assets/ebooks/Duo-Labs-The-Apple-of-Your-EFI.pdf
相关阅读
数秒内破解苹果Mac加密口令
维基解密:CIA早就可以轻易入侵苹果手机和电脑
苹果计算机不再安全 堪比NSA间谍工具的雷击2代
黑客技术官网地址:http://www.hackdig.com/
物流公司联邦快递(FedEx)在上个月宣布:该企业的子公司在六月份遭受了一起网络攻击影响,直接导致公司的季度利润减少,公司已经同步降低了年度预期利润。
FedEx回顾,曾导致德克萨斯州东南部洪灾的"最强飓风"哈维肆虐时,公司遭到了每股2美分的亏损,而这次网络攻击的损害接近前者的40倍――每股79美分!
联邦快递不幸成为了NotPetya病毒的受害者大军中的一员,该病毒爆发于6月29日,先是摧毁了乌克兰的企业,然后迅速传播到全球,港口、工厂、公司办公室纷纷遭殃。
联邦快递首席财务官艾伦・格拉夫说:"TNT快递遭受网络攻击、联邦快递业务不佳的结果影响了我们第一季度的利润。我们正在执行一些计划以缓解这些问题的全年影响。"
联邦快递及其老对手UPS的股票通常被认为是美国经济的晴雨表,但是它在盘后交易中下跌了超过2%。
截至8月31日,联邦快递的该季度净利达为5.96亿美元/每股2.19美元,与去年同期的7.15亿美元/每股2.65美元相比,下跌逾16%。
扣除一次性项目,该公司公布的每股收益2.51美元。此前,华尔街分析师曾预期每股收益3.09美元。
联邦快递表示,如果没有网络攻击和飓风哈维的影响,每股收益可达3.32美元,甚至高于分析师的预期。
该公司表示,联邦快递的子公司TNT快递的大部分业务和系统都已恢复正常,但TNT快递的业务量、收入和利润仍然低于原水平。
不幸的是,联邦快递的保险并不覆盖网络攻击。
联邦快递还表示,配送部门的运费上涨弥补了网络攻击、TNT瘫痪、联邦快递地面部门和高税率带来的损失,甚至还有结余。
该公司的运营利润率从8.6%降至7.3%。
此前,分析师预计联邦快递的每股年收益是13.01美元,联邦快递原本预估每股年收益12.45-13.25美元,经此事件下调到了11.05-11.85美元。
整体营收则从去年同期的147亿美元增至153亿美元。分析师此前预期值为153.5亿。
联邦快递周一表示,明年1月1日起该公司将上调其邮寄、地面运输和家庭配送业务运费,平均涨幅达4.9%。
这个时候公布明年价格上涨,是联邦快递和UPS的惯例。
相关阅读
供应链安全五大关键数字风险的思考
不把安全当回事 被利用传播NotPetya的会计公司面临刑事诉讼
黑客技术官网地址:http://www.hackdig.com/
没有评论:
发表评论