一名安全专家已经发现一种方法，可以在苹果笔记本电脑的微芯片中安装恶意代码。而且这种恶意代码无法被删除，即使更换整个硬盘都不行。

　　这种恶意代码被称为Thunderstrike，现在几乎不可能被发现，它只需要袭击者短时间接触一台电脑即可。由于这是一种全新恶意代码，目前还没有安全软件可以找到它。

　　效力于纽约对冲基金Two Sigma Investments的安全专家特拉梅尔·哈德逊（Trammell Hudson）说，这一发现源于他的雇主要求他检查苹果笔记本电脑的安全性。他说：“当时我们正考虑引入MacBook，我被要求利用逆向工程经验调查Mac上的恶意软件。”

　　哈德逊首先拆卸了一台苹果笔记本电脑，以便进入启动代码(Boot rom)。这种微芯片内含有代码，可以在主操作系统安装前启动和运行电脑。恶意代码可能藏在这里，它们与藏身硬盘中的其他正常病毒不同，无法被移除。这就是众所周知的bootkit攻击。这种代码可让攻击者随心所欲，从暗中观察用户到泄漏电脑上敏感信息等。

　　尽管此前已经有许多研究人员发现，修改苹果笔记本ROM内容会导致电脑完全无法使用，但这却可作为一种安全措施，查看ROM内容是否存在改动痕迹，并在发现不妥时关闭电脑。但哈德逊却能够规避这些检查，安装他想要的任何代码。

　　哈德逊说，这些安全措施总是“注定失败”和“无用的”，因为任何可检查ROM内容的人，同样也能发现ROM内容是否发生变化的代码。相反，应该对某些不容易进行改变的硬件芯片进行检查。

　　哈德逊还进一步发现，这种攻击甚至无需将电脑与芯片进行物理拆分，只需使用Thunderbolt端口即可。从理论上说，只需要按照下列简单步骤进行，任何设备都可被用于安装恶意代码，包括监控器、硬盘以及打印机等。

　　哈德逊说：“由于这是第一种OS X固件bootkit，目前还没有安全软件可发现它。它从第一指令系统控制电脑，允许其记录击键，包括磁盘加密密匙，在OS X的内核和旁路固件密码中安插后门等。它无法被安全软件删除，因为其控制自签名密匙和更新程序。OS X的重新安装也无法删除它。更换SSD也不行，因为其根本不在硬盘中存储任何数据。”

　　哈德逊还称：“在进入你的笔记本电脑数分钟后，Thunderstrike就允许启动ROM固件被取代，无论固件是否有密码或磁盘是否加密。Thunderstrike的当前形态可以对我测试过的任何携带Thunderbolt端口的笔记本有效，包括MacBook Pro、Air以及Retina等。”

　　哈德逊表示，苹果推出了“局部修复”方案，因为固件升级在某些情况下可以阻止ROM被恶意代码覆盖重写，但这不是绝对，比如当电脑安装有恶意迅雷设备插件时重启就不行。哈德逊称他2013年首次发现公司电脑中的漏洞，但至今有些电脑依然容易受到黑客攻击，黑客可哄骗电脑“降级”软件版本，这些版本的软件不含有新的补丁，因此更容易受到攻击。

　　哈德逊认为，唯一可预防此类攻击的方法是用你自己的代码覆盖ROM内容，这可以禁止任何通过Thunderbolt端口的类似远程攻击。然后给你的笔记本电脑涂上指甲油，以发现任何未经授权的ROM物理访问。可是，这些复杂的措施都很消耗时间。苹果目前还未对此发表评论.