即便你的操作系统和应用都更新了，但还有一个安全威胁隐藏在深处。新研究表明，Mac机上预启动软件往往过时老旧，让果粉面临更大的恶意软件攻击风险。

安全公司Duo Security对7.3万台苹果Mac机的分析显示，因为老旧过时的固件，用户毫无所觉地暴露在复杂恶意软件攻击之下。从硬件模型、操作系统(OS)版本和随OS发布的可扩展固件接口(EFI)版本来看，企业环境里被分析的73,324台Mac机中，4.2%的EFI版本与预期不符。

分析的某iMAC模型（2015年底推出的21.5英寸版）中，43%（2,190台中的941台）运行的是过时的不安全版本固件。2016年底的3款13英寸 MacBook Pro，呈现出25%到35%的异常率。2011年初的2款 MacBook Pro，与预期EFI固件版本不符的占15%和12%。

操作系统版本不同，偏离预期EFI固件的比例也明显不同。macOS 10.12 (Sierra) 10%的异常率明显高于平均值；然后就是 OS X 10.11 (El Capitan)，为3.4%；最后是OS X 10.10 (Yosemite) ，是2.1%。

更新的App，过时的固件

该研究显示，Mac粉很容易使用OS和应用紧跟时代，EFI固件却过时多年的系统，让他们的Mac计算机对公开揭露的漏洞和漏洞利用程序毫无防范。

被分析的7万多台Mac机中，共有3,400台(4.6%)的系统持续接收软件安全更新，却不接收EFI固件更新。

Duo Security分析的OS X/macOS（从10.10版到10.12版）主机中，Mac硬件和OS的16种搭配组合，从不接收任何EFI固件更新。但却持续接收来自苹果的OS和配套软件的安全更新。

研究人员被被这其中的更新差距吓了一跳。

考虑到最新版本的EFI固件应随OS更新自动安装，该差异之大，令人心惊。本来，仅特殊情况下，当前EFI版本才会与随当前OS版本发行的EFI不相符的。

雷霆一击

固件安全缺陷可将用户暴露在“雷击(Thunderstrike)”漏洞攻击之下。维基解密的Vault 7数据大放送中曝光的NSA黑客工具，同样依靠过时固件。

Duo Security称，其研究引发了对苹果在EFI固件更新质量水平上的质疑，毕竟它在软件安全更新上干得漂亮得多。这对比实在是太强烈了。

对苹果更新包的进一步分析，也凸显出其EFI程序的错误包含：2017-001安全更新(10.10和10.11)中的43个版本EFI程序，比之前2016-003(10.11)和2016-007(10.10)更新中发布的EFI程序版本还要老旧。

这表明了一种退步，或者说是发布质量的失控——错误的EFI固件版本被放到了OS安全更新中。

Duo Security猜测，可能有什么东西干扰了捆绑EFI固件更新的安装，让系统继续运行老旧的EFI版本。

部分问题在于：苹果系统的EFI固件安全状态基本上没什么可见性。EFI固件受到固件补丁支持的时长也没有个公开的时间线，也没有任何列表指出哪些系统不再接收固件更新——尽管继续接收软件安全更新。企业补丁部署工具或许也是个问题，至少某些案例中是。

但该固件安全漏洞的部分原因，可能是糟糕操作员的失误，而非苹果的错。Mac系统管理员无视EFI固件更新的重要性是常态，或者常常因为其部署中的历史遗留问题，而主动移除了EFI固件更新。应用EFI固件更新的过程，曾是需要IT支持员工手动操作的费劲流程。

因此，很多Mac系统管理员，渐渐就决定移除或禁用随OS或安全更新的EFI固件更新的部署了，他们决定等需要的时候再“面对它”。

但Duo Security表示，这种方法已不再具有可持续性，建议EFI固件更新还是随OS或安全更新交付并应用为妙。

完整报告：

https://duo.com/assets/ebooks/Duo-Labs-The-Apple-of-Your-EFI.pdf

相关阅读

数秒内破解苹果Mac加密口令
维基解密：CIA早就可以轻易入侵苹果手机和电脑
苹果计算机不再安全 堪比NSA间谍工具的雷击2代