8月4日，据国外媒体报道，网络安全研究人员已经开发出名为“雷击2”的固件恶意软件，它可以远程感染苹果Mac电脑。即使用户擦除硬盘数据，并重新安装操作系统，依然无法清除它。在加拿大温哥华举办的Black Hat与Def Con黑客大会上，研究人员将演示这种固件恶意软件，它非常难以被发现和根除，以至于他们建议人们将感染的Mac丢进垃圾箱中。

当有公司宣称他们的产品牢不可破、无懈可击时，这就像在公牛面前挥舞红旗进行挑衅一样。苹果此前宣称，与其他存在后门的电脑相比，同样的固件漏洞不会对Mac造成太大威胁。为此已经有网络安全研究人员证明，他们可以利用固件恶意软件远程感染Mac，且这种恶意软件很难发现和根除。

科里·卡伦博格（Corey Kallenberg）、克赛诺·科瓦赫（Xeno Kovah）以及特拉梅尔·哈德逊（Trammell Hudson）将在8月6日举行的Black Hat与Def Con黑客大会上，演示Mac电脑遭恶意软件“雷击2”攻击的过程。他们写道：“尽管已经对Mac固件发动过数次攻击，但与其他PC不同，所有这些攻击都需要物理存在来执行。有趣的是，在谈及先前披露个人电脑固件易遭攻击的细节时，苹果宣称自己的电脑不会轻易受到攻击。我们的演示将提供确凿证据，证明苹果电脑实际上容易受到许多软件攻击，即使固件攻击也会影响其电脑系统。为了强调这些攻击成功的后果，我们将展示苹果固件恶意软件所具备的黑暗力量。”

研究人员此前曾利用LightEater恶意软件发动攻击，他们发现80%的电脑固件容易受到攻击，只有苹果宣称Mac不容易遭到攻击。但科瓦赫说，这不是真的。他说：“我们在其他电脑上发现的几乎所有攻击，似乎都适用于Mac电脑。”实际上，研究人员称，5/6的漏洞会影响Mac固件。

当你首次启动电脑时，固件就会运行。它会启动操作系统。对于苹果电脑来说，固件被称为可扩展固件接口（EFI）。大多数人相信，苹果产品具有安全优势，但研究人员将会证明：任何时候当你听到EFI固件遭到攻击时，它几乎涵盖所有的x86电脑。”攻击者只需要几秒钟就可以远程感染Mac固件。即使用户擦去硬盘数据，并重新安装操作系统，感染“雷击2”的Mac也无法根除固件感染问题。

攻击者可能通过钓鱼电子邮件和恶意网站选择感染目标。“雷击2”可以自动在笔记本电脑之间传播，无需通过网络扩散。袭击者也可以远程甚至气隙系统(Air-gapped)控制目标电脑，它的目的是通过感染外围设备上的option ROM扩散。这种概念验证性研究（POC）恶意软件主要针对那些含有option ROM的计算机的外部连接设备，如苹果迅雷以太网适配器，随后感染电脑固件，并将扩散到其他连接适配器的电脑上。

当另一台电脑通过感染“雷击2”恶意软件的插入装置启动时，其固件会从被感染的设备上加载option ROM，这会触发恶意软件启动一个程序，将恶意代码写入到启动闪存固件上。如果新设备随后被插入到计算机中，并包含option ROM，该恶意软件将自动在设备上书写代码，并利用其进行扩散。

随机感染电脑的一种方法是在eBay上销售被感染的以太网适配器，或者在工厂里感染它们。

一周前，固件安全咨询公司LegbaCore发布了演示视频，显示Mac Mini由于固件被感染而无法启动。研究人员在视频中称：“苹果没有采纳英特尔的建议，采取最佳措施保护他们的固件。结果显示Mac很容易遭到攻击，无论是尝试通过启动外部媒体、重新安装操作系统，抑或是完全改变HD/SSD，都没有办法启动电脑。要想恢复这些攻击，唯一的办法就是使用已知干净的固件拷贝刷新SPI Flash芯片。这种攻击不需要物理存在，它可以通过向系统发射远程连接发动。”

苹果已经收到有关这个漏洞的通告，但自然不会在苹果雷电接口（Thunderbolt）和雷电外设设备描述中谈及它们。虽然苹果6月份曾“部分修复“Mac的EFI漏洞，但研究人员称，他们发现的其他问题仍然未打补丁。苹果选择不对一个漏洞执行保护措施，这将阻止攻击者更新操作系统的代码。

科瓦赫说：“这种袭击的确非常难以发现，而且很难清除，在固件中运行的某些东西也难以受到保护。”重新刷新包含固件的芯片是清除嵌入固件中“雷击2”恶意软件的唯一方法。 在进行演示之后，研究人员有意发布一些工具，允许用户检查他们设备上的option ROM。但是这些工具无法检测电脑上的启动闪存固件。