Un difetto Thunderbolt garantisce agli hacker l’accesso ai tuoi dati
Di recente un ricercatore ha pubblicato un proof of concept che gli mostrava l’accesso ai contenuti di un laptop bloccato in pochi minuti. Il punto cruciale del difetto viene da Thunderbolt. Ma mentre ha avuto accesso al laptop, aveva bisogno di un accesso fisico, un cacciavite e parti standard.
Aggiornato, 5/11: Intel afferma che questo attacco non funzionerà su computer con la protezione Kernal DMA abilitata. Un portavoce di Intel ci dice: “Non è stato possibile dimostrare con successo questo attacco su sistemi con protezione DMA del kernel abilitata. Come sempre, incoraggiamo tutti a seguire le buone pratiche di sicurezza, inclusa la prevenzione dell’accesso fisico non autorizzato ai computer." L’azienda ha anche pubblicato una risposta alla ricerca in un post sul blog.
Soprannominato Thunderspy, l’attacco sfrutta il fatto che Thunderbolt è una porta di accesso diretto alla memoria. Come le porte PCI-Express e Firewire, le porte Thunderbolt accedono alla memoria di sistema direttamente all’esterno della CPU, il che consente velocità di trasferimento elevate. Ma questo è anche ciò che li rende vulnerabili agli attacchi diretti alla memoria.
Come visto nel video dimostrativo del ricercatore di sicurezza Björn Ruytenberg, sfruttando l’accesso di Thunderbolt alla memoria di sistema, un hacker può accedere ai tuoi dati anche quando il laptop è bloccato e il disco rigido è crittografato.
L’attacco non è semplice, tuttavia, l’hacker dovrebbe essere ben preparato e avere bisogno dell’accesso al tuo laptop. L’hack consiste nel togliere la piastra posteriore (la parte inferiore) da un laptop e collegare un dispositivo alla scheda madre per riprogrammare il firmware.
Sebbene Ruytenberg affermi che è un processo che può eseguire in pochi minuti, ciò presuppone familiarità con il laptop e ciò che è necessario per rimuovere la piastra posteriore (se possibile). È improbabile che il tuo laptop incustodito cada vittima di questo attacco a uno Starbucks, ma il tuo laptop rubato è una storia diversa.
Secondo Ruytenberg, il difetto non è un problema software e non può essere risolto. Invece, è necessaria una riprogettazione del chip. Altri ricercatori sembrano non essere d’accordo, almeno in parte, e sostengono che la nuova protezione a livello di kernel di Windows 10 dovrebbe almeno in parte mitigare il problema. E se sei su macOS, sei anche parzialmente protetto.
Rutenberg ha continuato dicendo che un altro vettore per l’attacco può aggirare la necessità di smontare parzialmente il dispositivo. Ma in tal caso, l’hacker avrebbe bisogno di accedere a un dispositivo fulmine precedentemente collegato al laptop.
Vale la pena ricordare che le potenziali vulnerabilità di sicurezza di Thunderbolt sono uno dei motivi per cui Microsoft non includerà la porta sui dispositivi Surface. Per ora, se sei preoccupato se questo difetto colpisce il tuo dispositivo, puoi controllare sul sito Web ThunderSpy creato da Ruytenberg.
Fonte: ThunderSpy via Wired