数百万最新的苹果Mac电脑仍然容易受到EFI固件黑客攻击

始终保持操作系统和软件的最新状态。

这是每个安全专家都强烈建议您遵守的最流行和最关键的建议之一，以防止自己遭受重大网络攻击。

然而，即使你试图安装每一个登陆到你的系统的该死的软件更新，你的计算机很有可能仍然过时和易受攻击。

安全公司Duo Labs的研究人员分析了超过73000台Mac系统，发现数量惊人的苹果Mac电脑要么未能安装EFI固件漏洞补丁，要么根本没有收到任何更新。

苹果为Mac电脑使用英特尔设计的可扩展固件接口（EFI），其工作级别低于电脑的操作系统和管理程序，并控制启动过程。
EFI在macOS启动之前运行，并具有更高级别的权限，如果攻击者利用该权限，EFI恶意软件可以在不被检测的情况下控制一切。

“除了能够绕过更高级别的安全控制之外，攻击EFI还使对手非常隐蔽，难以发现（很难相信操作系统会告诉你EFI状态的真相），这也使得对手很难被清除，“安装一个新的操作系统，甚至完全更换硬盘，都不足以让它们离开，”两位研究人员说。

更糟的是什么？除了忽略对某些系统进行EFI更新之外，苹果甚至没有警告用户EFI更新过程失败或技术故障，这使得数百万Mac用户容易受到复杂和先进的持续网络攻击。

Duo表示，在企业环境中使用的73324台现实世界Mac电脑中，平均有4.2%运行的是不应该运行的不同EFI固件版本，基于硬件型号、操作系统版本和随该操作系统发布的EFI版本。

你会惊讶地知道一些特定Mac机型的数字，43%经过分析的iMac机型（2015年末的21.5英寸）运行的是过时的、不安全的固件，在Mac OS X 10.10和10.12.6可用时，至少有16款Mac机型从未收到任何EFI固件更新。

“在我们的分析期间，苹果公司确认并修补了主要的EFI漏洞，尽管继续收到软件安全更新，但仍有数量惊人的Mac机型没有收到EFI更新，”两位研究人员说。

“即使您运行的是最新版本的macOS，并且安装了已发布的最新补丁，我们的数据显示，您正在运行的EFI固件可能不是最新版本，这是非常有可能的”。
Duo还发现了47款运行10.12、10.11、10.10版本macOS的机型，它们没有收到EFI固件更新以及解决已知漏洞ThunderTrike 1的补丁。
虽然31款机型没有获得EFI固件补丁来解决同一缺陷的远程版本，但ThunderTrike 2。

最初由美国国家安全局（NSA）开发的雷击攻击也在维基解密Vault 7数据转储中曝光，其中还提到攻击依赖于过时的固件。

有关易受攻击的Mac机型的更多详细信息，请参见Duo Labs的研究报告。

据研究人员称，他们的研究集中在Mac生态系统上，因为苹果在控制整个堆栈方面处于某种独特的位置，但它可以被广泛部署。

研究人员说：“然而，我们相信，我们发现的主要问题通常与负责EFI固件安全的所有供应商有关，而不仅仅是苹果公司”。

拥有大量Mac电脑的企业应审查Duo Labs白皮书中概述的模型。”EFI的苹果：来自EFI安全性实证研究的发现，“看看他们的模型是否过时。

Mac用户和管理员还可以使用免费的开源工具来检查自己的系统是否运行最新版本的EFI埃菲吉，该公司将很快提供。