Usterka Thunderbolt zapewnia hakerom dostęp do Twoich danych
Niedawno badacz opublikował dowód koncepcji, który pokazał, że uzyskuje dostęp do zawartości zablokowanego laptopa w ciągu zaledwie kilku minut. Sedno usterki pochodzi z Thunderbolt. Ale chociaż uzyskał dostęp do laptopa, potrzebował fizycznego dostępu, śrubokręta i gotowych części.
Zaktualizowano, 5/11: Intel twierdzi, że ten atak nie zadziała na komputerach z włączoną ochroną Kernal DMA. Rzecznik firmy Intel mówi nam: „Tego ataku nie można było pomyślnie zademonstrować na systemach z włączoną ochroną jądra DMA. Jak zawsze zachęcamy wszystkich do przestrzegania dobrych praktyk bezpieczeństwa, w tym zapobiegania nieautoryzowanemu fizycznemu dostępowi do komputerów". Firma opublikowała również odpowiedź na badania w poście na blogu.
Atak nazwany Thunderspy wykorzystuje fakt, że Thunderbolt jest portem bezpośredniego dostępu do pamięci. Podobnie jak PCI-Express i Firewire, porty Thunderbolt uzyskują dostęp do pamięci systemowej bezpośrednio poza procesorem, co pozwala na wysokie szybkości transferu. Ale to również czyni je podatnymi na bezpośrednie ataki pamięciowe.
Jak widać w filmie demonstracyjnym badacza bezpieczeństwa Björna Ruytenberga, wykorzystując dostęp Thunderbolt do pamięci systemowej, haker może uzyskać dostęp do Twoich danych nawet wtedy, gdy laptop jest zablokowany, a dysk twardy jest zaszyfrowany.
Atak nie jest jednak prosty, haker musiałby być dobrze przygotowany i potrzebował dostępu do laptopa. Hakowanie polega na zdjęciu tylnej płyty (dolnej) z laptopa i podłączeniu urządzenia do płyty głównej w celu przeprogramowania oprogramowania układowego.
Chociaż Ruytenberg twierdzi, że jest to proces, który może wykonać w ciągu kilku minut, zakłada on znajomość laptopa i tego, co jest potrzebne do zdjęcia backplate (jeśli to w ogóle możliwe). Jest mało prawdopodobne, aby Twój bezobsługowy laptop padł ofiarą tego ataku w Starbucks, ale skradziony laptop to inna historia.
Według Ruytenberga ta usterka nie dotyczy oprogramowania i nie można jej naprawić. Zamiast tego konieczne jest przeprojektowanie chipa. Inni badacze zdają się nie zgadzać, przynajmniej częściowo, i twierdzą, że nowa ochrona na poziomie jądra systemu Windows 10 powinna przynajmniej częściowo złagodzić ten problem. A jeśli korzystasz z systemu macOS, jesteś również częściowo chroniony.
Rutenberg powiedział dalej, że inny wektor ataku może ominąć potrzebę częściowego demontażu urządzenia. Ale w takim przypadku haker potrzebowałby dostępu do urządzenia piorunowego podłączonego wcześniej do laptopa.
Warto wspomnieć, że potencjalne luki w zabezpieczeniach Thunderbolta są jednym z powodów, dla których Microsoft nie uwzględnia portu w urządzeniach Surface. Na razie, jeśli martwisz się, czy ta usterka dotyczy Twojego urządzenia, możesz sprawdzić na stronie ThunderSpy utworzonej przez Ruytenberga.
Źródło: ThunderSpy przez Wired