Ein Thunderbolt-Fehler gewährt Hackern Zugriff auf Ihre Daten
Kürzlich veröffentlichte ein Forscher einen Proof of Concept, der zeigte, dass er in nur wenigen Minuten auf den Inhalt eines gesperrten Laptops zugreifen konnte. Der Kern des Fehlers kommt von Thunderbolt. Aber während er Zugriff auf den Laptop erhielt, benötigte er physischen Zugriff, einen Schraubendreher und handelsübliche Teile.
Aktualisiert, 5/11: Laut Intel funktioniert dieser Angriff nicht auf Computern mit aktiviertem Kernal-DMA-Schutz. Ein Sprecher von Intel teilt uns mit: „Dieser Angriff konnte auf Systemen mit aktiviertem Kernel-DMA-Schutz nicht erfolgreich demonstriert werden. Wie immer ermutigen wir alle, gute Sicherheitspraktiken zu befolgen, einschließlich der Verhinderung des unbefugten physischen Zugriffs auf Computer." Das Unternehmen hat auch eine Antwort auf die Forschung in einem Blogbeitrag veröffentlicht .
Der als Thunderspy bezeichnete Angriff nutzt die Tatsache aus, dass Thunderbolt ein direkter Speicherzugriffsport ist. Wie PCI-Express und Firewire greifen Thunderbolt-Anschlüsse direkt außerhalb der CPU auf den Systemspeicher zu, was hohe Übertragungsraten ermöglicht. Aber das macht sie auch anfällig für direkte Speicherangriffe.
Wie im Demonstrationsvideo des Sicherheitsforschers Björn Ruytenberg zu sehen ist, kann ein Hacker durch die Nutzung des Thunderbolt-Zugriffs auf den Systemspeicher an Ihre Daten gelangen, selbst wenn der Laptop gesperrt und die Festplatte verschlüsselt ist.
Der Angriff ist jedoch nicht einfach, der Hacker muss gut vorbereitet sein und Zugriff auf Ihren Laptop haben. Der Hack besteht darin, die Rückplatte (die Unterseite) von einem Laptop zu entfernen und ein Gerät an das Motherboard anzuschließen, um die Firmware neu zu programmieren.
Obwohl Ruytenberg behauptet, dass dies ein Vorgang ist, den er in Minuten erledigen kann, setzt dies voraus, dass er mit dem Laptop vertraut ist und weiß, was zum Entfernen der Rückplatte erforderlich ist (falls dies überhaupt möglich ist). Es ist unwahrscheinlich, dass Ihr unbeaufsichtigter Laptop diesem Angriff in einem Starbucks zum Opfer fällt, aber Ihr gestohlener Laptop ist eine andere Geschichte.
Laut Ruytenberg ist der Fehler kein Softwareproblem und kann nicht gepatcht werden. Stattdessen ist ein Chip-Redesign notwendig. Andere Forscher scheinen zumindest teilweise anderer Meinung zu sein und behaupten, dass der neue Schutz auf Kernel-Ebene von Windows 10 das Problem zumindest teilweise entschärfen sollte. Und wenn Sie macOS verwenden, sind Sie auch teilweise geschützt.
Rutenberg sagte weiter, dass ein anderer Vektor für den Angriff die Notwendigkeit umgehen kann, das Gerät teilweise zu zerlegen. Aber in diesem Fall benötigt der Hacker Zugriff auf ein zuvor mit dem Laptop verbundenes Thunderbolt-Gerät.
Erwähnenswert ist, dass die potenziellen Sicherheitslücken von Thunderbolt ein Grund sind, warum Microsoft den Port nicht auf Surface-Geräten integrieren wird. Wenn Sie sich Sorgen machen, ob dieser Fehler Ihr Gerät betrifft, können Sie vorerst auf der von Ruytenberg erstellten ThunderSpy-Website nachsehen.
Quelle: ThunderSpy über Wired