Hier sollte Apple ähnlich rigoros vorgehen, wie bei iOS-Geräten. Sicherer Bootvorgang von Anfang bis Ende und Firmware-Updates sollten natürlich signiert und am Besten von Apple-Servern abgesegnet durchgeführt werden.

Ich glaube, Apple kennt dieses Problem. In die gleiche Richtung geht das Thema "Angriff via EFI", zum Beispiel auf Kennwort-Eingaben bei Anmeldungen, FileVault 2 usw., da wurde auf den Black Hat-Konferenen schon mal was vorgeführt mithilfe eines externen TB-Gerätes. Mal schauen, ob und wann sie das angehen.

Klar kann man durch geänderte Firmware ein Gerät kaputt machen. Das ist wohl keine Kunst. Allerdings ist es die Frage wie die geänderte Firmware auf das Gerät kommt!

Nein. Apple müsste nur die Firmwareupdates signieren und dann vor der Installation prüfen lassen (EFI Feature, gibts bei Windowsgeräten bereits aber noch selten implementiert).

Wie immer alles ganz einfach und Apple ist nur zu dumm. Oder gibt es vielleicht doch Sachverhalte die wir nicht kennen und uns als Laie deshalb kein Urteil bilden dürfen?!

@nowMAC

Natürlich nicht, Apple hat schließlich nur Stümper in der Firma. Dies besten Entwickler, absolut allwissend, unfehlbar, vollkommen und perfekt findet man nur hier im Forum.

Apple ist sogar zu dumm in einem solch elitärem Forum wie bei MTN mal nach zu sehen und die passenden Entwickler zu erkennen

so ein Quatsch

Geht Apple sicher am Arsch vorbei. So können dann Geräte als Totalschaden diagnostiziert werden und die Kunden dazu gegängelt ein neues LB oder am besten einen neuen Mac zu kaufen

Klar...

Du weißt selbst wie schnell Apple in solchen Dingen reagiert. Nämlich meist erst nach der ersten Sammelklage in 'Murica

Die Vorteile von Fragmentierung...

... über 100°C? So schlimm?!
Wohl noch nie ein Macbook richtig arbeiten lassen...

haben in Firmen üblicherweise nicht allzu viel mitzureden, weil es bspw. sowas wie ein Management gibt. Und Prioritäten, usw. usf.

Mit eine Basis des Erfolgs von Apple seit der Wiederkehr von Steve Jobs war mitunter auch, dass der ganze Produktentwicklungsprozeß von Entwicklungs-gesteuert auf Design-gesteuert umgestellt wurde (und nein, "Design" nicht wie in "Dekor" sondern die richtige Bedeutung). Was das auch angesichts der "Firmenkultur" bedeutet, kann man sich eigentlich auch ausmalen (bzw. ist der Prozeß, drüber nachzudenken, gar nicht so verkehrt, um ein klareres Bild zu bekommen, warum manche Sachen großen und andere nur kleinen Stellenwert in einer Firma haben)

Also wenn ich mir die UEFI-Situation auf "Normal-PCs" so ansehe (grad in Hinblick auf die Freiheit, andere Betriebsysteme zu nutzen als jene, die der Hersteller beim Verkauf so vorsieht), dann will ich das eher mal nicht.

Aber die Problematik trifft ja bei "Alles aus einer Hand"-Apple nur bedingt zu. Die könnten -- wenn sie wollten -- da durchaus eine sichere Infrastruktur schaffen, was EFI angeht. Muß halt erst was Krasses passieren, das auch an die Öffentlichkeit gelangt, damit sich in dem Bereich die Prioritäten veschieben. EFI selbst steht ja von Anbeginn der Intel-Macs an offen wie ein Scheunentor da...

Für den umsichtigen User oder Admin scheint mir das Angriffs-Szenario eigentlich eher jenseits von Gut und Böse, zumindest würde ich selbst Firmware ausschließlich via Software-Aktualisierung bzw. direkt von der Apple-Website laden, bei jeder anderen Quelle würde ich mehr als zurückhaltend sein.

So richtig und wichtig Warnungen vor Bugs und Schwachstellen sind, scheint mir, sobald ein Bezug zu Apple hergestellt werden kann, das Thema in den Medien nachgerade Hysterisch aufgebauscht zu werden.

Ein MacBook lässt sich übrigens auch ganz einfach mit 'nem Hammer schrotten, so wie alle anderen Laptos auch. Wissenschaftliche Fingerübungen von Forschern sollten daher auch vor allem genau als solches gewertet werden: für die Produktentwicklung gut zu wissen, aber in der Praxis sehr kaum relevant.

Ein Hammer -- als Bild per eMail verschickt -- entfaltet aber nicht mehr diese Wirkung, oder doch?

Soooo schwer fällt es doch wirklich nicht, den Unterschied zu erkennen, dass wenn ein "Angreifer" physischen Zugang zu einem Rechner hat, damit egal was auch immer machen kann. Und dass aus der Ferne ausnutzbare Sicherheitslücken, zumal wenn sie als Angriff für den geneigten User gar nicht erkennbar sind, was völlig anderes sind (bitte informieren, wie das Flashback-Botnetz entstanden ist: Durch User, die die Schadsoftware aktiv installiert haben)

Äh, in welchem Paralleluniversum lebst Du? Wo findet sich was "in den Medien" dazu? Mir haben die Informationen in dieser Meldung hier nicht mal gereicht, um überhaupt an die Essenz dessen, was die beiden Typen da auf der RSA-Konferenz demonstriert haben, zu gelangen. Dito in den beiden verlinkten Artikeln (die zudem noch teilweise im Widerspruch zur Meldung hier stehen). Google förderte dann bspw. das da zutage: http://blogs.wsj.com/cio/2014/02/26/cyberattacks-can-now-turn-your-hardware-into-a-doorstop/

Und da steht -- Kurzfassung: Cyberattack (remote ausnutzbar! Das ist der springende Punkt!) in Form eines Angriffs auf die Firmware, um die Firmware eines "Rechners im Rechners" (im konkreten Fall Apples SMC) zu manipulieren, mit der man die Hardware zum Briefbeschwerer machen oder in Flammen aufgehen lassen kann. Weitere Aussage: Das trifft auf egal welche Hardware heutzutage zu, alles steckt voller Micro-Controller (sogar profanste Speicherkärtchen für nahezu kein Geld enthalten sowas ), alles ist upgradebar und nirgends gibt's dafür irgendeine Form von Sicherheitsmaßnahmen.

Und dann steht da auch noch, dass Apple-Hardware ein besonders lohnenswertes Ziel ist, weil man hier Dank "Monokultur" nicht Exploits für zwölftrillionen unterschiedliche Hardware-Varianten bauen muß sondern mit einem Streich eine ganze Modellfamilie "erledigen" kann.

Die Idee ist wahrlich nett, wenn ich als Firma dabei bin, einen Pitch zu verlieren, einfach der anderen Firma ein Security-Update unterzuschieben, das die gemäß Patch-Policy nachts einspielen und damit den ganzen Laden abfackeln... von den viel wahrscheinlicheren Varianten, wie sowas eingesetzt (werden) wird, mal ganz abgesehen.

Ich persönlich hab bei den Angriffsszenarien aber erstmal weniger an Zerstörung sondern an Manipulation gedacht. Diese ganze EFI-Chose selbst bspw. stellt einen Rechner im Rechner dar, der unterhalb des Betrübsystems angesiedelt ist und demzufolge auch komplett unterhalb des Radars sämtlicher Security-Maßnahmen des OS agiert.