一位安全專家發現了一種在蘋果筆記本電腦的微芯片中安裝惡意代碼的方法。而且，這種惡意代碼是不能刪除的，即使整個硬盤被替換。

這種被稱為“雷霆一擊”的惡意代碼現在幾乎不可能被檢測到，它只需要攻擊者短時間觸摸一臺計算機。由于這是一個全新的惡意代碼，目前還沒有安全軟件能夠發現。

紐約對沖基金Two適馬投資公司(Two Investments)的安全專家特拉梅爾哈德森(Trammell Hudson)表示，這一發現是在他的雇主要求他檢查蘋果筆記本電腦的安全性后發現的。他說：“當時我們正在考慮推出MacBook，我被要求利用逆向工程經驗調查Macs上的惡意軟件。”

哈德森首先拆除了一臺蘋果筆記本電腦來訪問引導只讀存儲器。這個微芯片包含的代碼可以在安裝主操作系統之前啟動和運行計算機。惡意代碼可能隱藏在這里。與硬盤中的其他正常病毒不同，它們無法被移除。這就是眾所周知的bootkit攻擊。這段代碼允許攻擊者為所欲為，從秘密觀察用戶到泄露計算機上的敏感信息。

雖然很多研究人員發現，修改蘋果筆記本的ROM內容會使<愛尬聊_百科大全>電腦完全無法使用，但它可以作為一種安全措施，檢查ROM內容是否有變化，如果有問題就關閉電腦。但是哈德遜能夠繞過這些檢查，安裝他想要的任何代碼。

哈德森說，這些安全措施總是“注定失敗”和“無用”，因為任何能檢查ROM內容的人也能找到改變ROM內容的代碼。相反，一些不容易更換的硬件芯片應該檢查。

哈德森進一步發現，這種攻擊甚至不需要將電腦與芯片物理分離，只需使用Thunderbolt端口即可。理論上，只需遵循以下簡單步驟，任何設備都可以用來安裝惡意代碼，包括顯示器、硬盤和打印機。

Hudson說：“因為這是第一個OS X固件bootkit，目前還沒有安全軟件可以找到它。它從第一指令系統控制計算機，允許它記錄擊鍵，包括磁盤加密密鑰、在OS X內核中插入后門和繞過固件密碼等。它不能被安全軟件刪除，因為它控制自簽名密鑰和更新程序。OS X的重新安裝程序也不能刪除它。你不能更換固態硬盤，因為它根本不會在硬盤中存儲任何數據。”

Hudson還表示：“在進入你的筆記本電腦幾分鐘后，Thunderstrike允許更換引導ROM固件，無論固件是否有密碼或者磁盤是否加密。目前形式的雷擊可以用于我測試過的任何帶有Thunderbolt端口的筆記本，包括MacBook Pro、Air和Retina。”

Hudson表示，蘋果之所以推出“部分修復”方案，是因為固件升級在某些情況下可以防止ROM被惡意代碼覆蓋，但這并不是絕對的，比如安裝惡意Thunderbolt設備插件時重啟電腦。哈德森說，他在2013年首次發現了該公司計算機的漏洞，但一些計算機仍然容易受到黑客的攻擊。黑客可以欺騙計算機“降級”不包含新補丁的軟件版本，因此它們更容易受到攻擊。

Hudson認為，防止此類攻擊的唯一方法是用自己的代碼覆蓋ROM內容，這樣可以通過Thunderbolt端口禁止任何類似的遠程攻擊。然后在你的筆記本電腦上涂上指甲油，以發現任何未經授權的對只讀存儲器的物理訪問。然而，這些復雜的措施是耗時的。蘋果尚未對此發表評論。