Trammell Hudson beginnt seinen Vortrag auf dem 31. Chaos Communication Congress (31C3) damit, dass er seinem Hack einen Namen gibt. "Weil das heute so üblich ist", sagt der Sicherheitsforscher aus den USA mit einem smarten Grinsen. Thunderstrike nennt er schließlich seinen Hack – wie den Helden aus dem Marvel-Comic. Beide, der Hack und der Held, sind mächtig und nur schwer zu besiegen.

Thunderstrike befällt ein aktuelles MacBook. Die Geräte von Apple galten bislang als vergleichsweise sicher. Schadsoftware gibt es für sie weit seltener als für Windows-Rechner. Umso erstaunlicher sind die Ergebnisse von Hudson. Der Sicherheitsforscher bohrte im Labor als erstes sein MacBook auf. Sein Angriff konzentriert sich auf den BootROM des MacBooks. Der BootROM ist ein etwa fingernagelgroßer Speicherchip im Inneren des MacBooks. Auf dem Chip ist die Firmware gespeichert. Diese enthält notwendige Informationen über die physischen Komponenten (Hardware) des MacBooks und besitzt eine Schnittstelle zum Betriebssystem. Startet der Nutzer sein MacBook, springt also zuerst der BootROM an, die Firmware startet. Diese checkt, ob alle Bauteile wie etwa Prozessor und Arbeitsspeicher an Bord sind. Dann wird das Betriebssystem von der Festplatte geladen.

Hudsons Ziel war es, seinen Schadcode auf den BootROM des MacBooks zu bringen. Seine Leistung besteht vor allem darin, dass er herausfand, wie er ein Auffliegen des Schadcodes verhindern kann. Denn eigentlich gelangt nur überprüfte Software, etwa ein offizielles Firmware-Update von Apple, auf den BootROM. Der Schlüssel zum Erfolg war der sogenannte OptionROM eines Thunderbolt-Gerätes. Thunderbolt ist eine von Apple entwickelte Schnittstelle, über die sich große Datenmengen schnell übertragen lassen. Genutzt wird dies zum Beispiel für externe (Thunderbolt-)Festplatten.

OptionROM infiziert BootROM

In der Firmware des Thunderbolt-Adapters, dem OptionROM, steckt der Schadcode von Hudson. Auf den OptionROM greift auch der BootROM zu, eine Überprüfung findet aber nicht statt. Hudson brauchte also nur seinen präparierten Adapter einstecken und das MacBook starten.

Der BootROM griff nun auf den OptionROM zu, wobei Schadcode auf den BootROM überging. Das reichte aus, um anschließend eine völlig neue Firmware von Hudson auf dem BootROM des MacBooks zu installieren. Von nun an hatte der Sicherheitsforscher einen umfassenden Zugriff auf den infizierten Apple-Rechner.

Noch ist der Code von Hudson nicht öffentlich im Netz einsehbar. Betroffen sind ohnehin nur Macs mit Thunderbolt-Schnittstelle. Außerdem bräuchten Angreifer den Zugang zum MacBook und einen entsprechend manipulierten Thunderbolt-Adapter. Aber Geheimdienste und Strafverfolger in einigen Ländern nutzen solche Möglichkeiten durchaus, sie werden Evil-Maid-Attacken genannt (böses Dienstmädchen).

Abwehr kaum möglich

Ist ein Gerät erst einmal befallen, ist es so gut wie unmöglich, das zu erkennen. Der Angreifer hat so viel Macht über das MacBook, dass er die Infektion gut verschleiern kann. Und selbst wenn Nutzer erkennen sollten, dass sie betroffen sind, werden sie es schwer haben, sich gegen die Folgen zu wehren.

Eine Neuinstallation des Betriebssystems hilft nicht, da die Firmware nicht auf der Festplatte, sondern dem BootROM gespeichert ist. Der BootROM selbst kann auch nicht ohne Weiteres geändert werden. Denn der Schadcode von Hudson tauscht auch den notwendigen kryptografischen Schlüssel aus. Nutzer haben, genau wie Apple, folglich einfach keinen Zugriff mehr auf den BootROM.

Auch im Vorfeld lässt sich bislang wenig unternehmen. Ein Firmware-Passwort bringt keine Sicherheit, weil der OptionROM vor der Passwortabfrage geladen wird. Es besteht außerdem eine hohe Ansteckungsgefahr: Jeder manipulierte Adapter übernimmt automatisch ein MacBook. Auf Konferenzen wie dem 31C3 oder in Firmen könnten entsprechende Adapter großen Schaden anrichten.

Hudson hat Apple über die Schwachstelle informiert, das Unternehmen hat auch schon reagiert. Neue MacMinis und iMacs sollen nicht mehr auf diese Weise angreifbar sein. Der Sicherheitsforscher hat Apple geraten, Nutzern von älteren Modellen per Sicherheitsupdate die Möglichkeit zu geben, das Lesen von OptionROMs zu deaktivieren. Bislang ist das nicht geschehen. Hudson sagte aber, dass Apple ein Update vorbereite.