Thunderstrike 2: dit moet je weten over het nieuwe Mac-wormvirus

Onderzoekers laten met het Thunderstrike 2 wormvirus zien dat MacBooks kwetsbaarder zijn dan je misschien dacht. Hoe gaat dit virus in zijn werk, en wat kun je er aan doen om het te bestrijden?
Lars Paymans -

Lichtgevend Apple Logo MacBook

Een veelgehoord argument om een Mac boven andere computermerken te verkiezen, is dat ze veiliger en minder kwetsbaar zijn voor virussen. Hoewel dit meestal het geval is, gaat dit niet altijd op, zo bewijst deze nieuwe firmware-worm die onopgemerkt je MacBook binnendringt.

Thunderstrike 2: wat is het?

Beveiligingsonderzoekers Xeno Kovah en Tramell Hudson demonstreren in de video onderaan dit artikel hoe de zogenaamde Thunderstrike 2 te werk gaat. Deze worm nestelt zich ongemerkt in de firmware van je MacBook en dat is ook direct waarom de worm zo hardnekkig is. Als hij er eenmaal zit, kun je hem niet verwijderen door OS X opnieuw te installeren of de harde schijf te vervangen. Software-updates die de worm bestrijden halen dan ook niets meer uit. Als uiterste oplossing zul je dus de MacBook uit elkaar moeten halen en alles resetten.

Geen netwerkverbinding nodig

Daarnaast heeft Thunderstrike 2 geen netwerkverbinding nodig om zich te verspreiden. De worm kan zich namelijk installeren op externe apparaten die je in je MacBook plugt (zoals een Thunderbolt Ethernet adapter of SSD), zodat het virus overgezet kan worden op iedere MacBook waar het externe apparaat in gestopt wordt.

Lees ook: Slaapstand maakt oudere MacBooks met OS X kwetsbaar voor malware

Thunderstrike-2-verspreiden

Xeno Kovah noemt vooral dit laatste het grote gevaar van Thunderstrike 2, omdat het op die manier simpel verspreid kan worden, ook bij mensen die geen verdachte websites bezoeken. Door geïnfecteerde externe apparaten te verkopen op tweedehands websites of door een goedkoop (maar onveilig) alternatief aan de man te brengen kan de worm zich met weinig weerstand over de wereld verspreiden. Hoe meer van deze accessoires verkocht worden, hoe sneller het virus zich verspreidt, zeker als meerdere Macs erop aangesloten worden.

Het is (nog) slechts een voorbeeld

Kovah en Hudson zullen Thunderstrike 2 uiteraard niet gaan gebruiken om MacBooks te infecteren, maar hun onderzoek laat wel zien dat het mogelijk is. Geen direct gevaar dus, maar vroeg of laat kan een soortgelijk virus wel opduiken dat met kwade bedoelingen de wereld rondgaat. Ga dus bewust om met onofficiële accessoires en overweeg om voortaan alleen je eigen adapters en externe apparatuur te gebruiken. Volgens Kovah en Hudson kun je weinig anders doen dan wachten op een update van Apple.

Volgens de onderzoekers heeft Apple niet genoeg gedaan om dit soort kwetsbaarheden te bestrijden en wordt het een heel karwei om een geïnfecteerde Mac weer virusvrij te maken. “We doen deze onderzoeken om mensen bewust te maken en om te bewijzen dat hardwaremakers zich beter moeten beschermen tegen dit soort aanvallen”, aldus de onderzoekers.

Lees ook: Exploit maakt Macs zelfs na formatteren kwetsbaar

Reacties: 14 reacties

  1. Gewoon een password zetten op je firmware en dan kan dit niet meer.

    Ook handig bij diefstal. Is de Mac meteen nutteloos voor de dief.

  2. Ben benieuwd of het ook mogelijk is de firmware te besmetten indien er een wachtwoord op zit? (zal ongetwijfeld geen barrière zijn voor dit virus).

  3. Als dit jouw apparaat treft, zou Apple het eigenlijk gratis moeten verwijderen. Macs zijn altijd befaamd geweest vanwege hun betrouwbaarheid en bestendigheid tegen virussen. Dus Apple heeft wel een naam hoog te houden.

  4. Heeft Apple hier nog geen reactie op gegeven?
    Eerder waren ze ook best laat met reacties op dit soort berichten. Uit arrogantie of door blinde paniek wegens het nog niet hebben van een adequate reactie? Geen idee.

  5. Waarom wordt er zo specifiek over een MacBook gesproken. Is dit niet ook van toepassing voor bijvoorbeeld een iMac?

  6. Ben volgens mij al jaren geleden getroffen op mijn iPhone 3GS. Had toen een jaibreak. Had daarna een iPhone 4 en daarna (nu) een iPhone 6. Zodra ik mijn gegevens terugsync staat wordt weer dat vervelende app- je geïnstalleerd! Toestel is niet gejailbreaked en het appje kan niet verwijderd worden. Lijkt net of hij bij de standaard apps hoort die Apple in zijn iOS versie opneemt. De app heet ‘free gift cards’ en is denk ik via mijn cydiatijd van toen meegekomen..

  7. Wat een hoax weer, het zal ook niet. Een virus dat je zelf moet installeren.
    Hoe toch eens op met die onzin. Altijd hetzelfde liedje.

  8. Dit lijkt wel wat op die USB-exploit van een tijd geleden. Dat je een funky usb-stickie moest gebruiken die zich dan vervolgens (wanneer je computer van het password af was), zich als een usb toetsenbordje ging gedragen en foute code ging typen.
    Of zoiets.

    Ook nooit meer wat van gehoord als oplettende eindgebruiker.

  9. Ik mis de info over welke Macbooks kwetsbaar zijn voor dit virus.
    Ik heb de neiging om aan de hand van het artikel te denken dat dit oud nieuws is wat oude Macbooks betreft?

    Kan dit uitgebreid worden met info over welke Macbooks kwetsbaar zijn?

  10. @Remon janssen: Kijk eens of je een profiel hebt geïnstalleerd

  11. Origineel geplaatst door Eric
    Wat een hoax weer, het zal ook niet. Een virus dat je zelf moet installeren.
    Hoe toch eens op met die onzin. Altijd hetzelfde liedje.

    Zelf installeren? Misschien goed om voordat je een reactie post het artikel ook ECHT te lezen 😉

    De beste virusbeveiliging van Apple is nog altijd de hoge prijs van de MAC’s.
    Hoe meer mensen een MAC hebben des te aantrekkelijker het wordt voor mensen om virussen er voor te maken. Gelukkig zijn er nog lang niet zo veel MAC gebruikers als Windows gebruikers.

    Niks is veilig, dat sowieso.

  12. Vermoeiende onzin weer. Een worm die alleen in het lab bestaat en die je, inderdaad, zelf moet installeren door vreemde randapparatuur aan te sluiten. Gewoon niet doen dus. Even kijken. Het is 4 augustus. Komkommertijd dus. Hoax, inderdaad. Horen we nooit meer wat van.

  13. Origineel geplaatst door Danny Princen:
    Zelf installeren? Misschien goed om voordat je een reactie post het artikel ook ECHT te lezen 😉

    De beste virusbeveiliging van Apple is nog altijd de hoge prijs van de MAC’s.
    Hoe meer mensen een MAC hebben des te aantrekkelijker het wordt voor mensen om virussen er voor te maken. Gelukkig zijn er nog lang niet zo veel MAC gebruikers als Windows gebruikers.

    Niks is veilig, dat sowieso.

    Al mijn iDevices zijn voorzien van gratis MAC adressen. Net als bij de Windows en Android apparaten bij iedereen die ik ken.

    Dat biedt dus geen virusbeveiliging