Las actualizaciones de firmware de dispositivos Apple utilizan ficheros de tipo SCAP (Secure Capsule). Esta especificación de formato de ficheros es propietaria de Apple aunque se basa en la creada por Intel en el año 2003 para definir volúmenes de firmware. Los investigadores de seguridad cada vez están poniendo más los ojos en ellos, especialmente tras ThunderStrike o ThunderStrike 2, y nuestro compañero David Barroso ha hecho un análisis de ellos en su blog.
En su análisis explica no solo el formato que ellos tienen, sino como pueden ser analizados utilizando herramientas como UEFITool para comprobar el contenido y proceder con un análisis posterior. En este artículo están los detalles y la explicación.
Figura 1: Apertura de un fichero SCAP de Apple con UEFITool |
Si te gusta el mundo del reversing, y te atraen los esquemas APT, está claro que el firmware de los dispositivos es muy apetecible, sobre todo teniendo en cuenta que la mayoría de las herramientas de análisis de seguridad de de binarios suelen pasar por algo el contenido de este tipo de ficheros embebidos en el firmware.
No hay comentarios:
Publicar un comentario