Недостаток Thunderbolt предоставляет хакерам доступ к вашим данным
Недавно исследователь опубликовал доказательство концепции, которая показала ему доступ к содержимому заблокированного ноутбука всего за несколько минут. Суть недостатка исходит от Thunderbolt. Но хотя он и получил доступ к ноутбуку, ему понадобился физический доступ, отвертка и готовые детали.
Обновлено от 11 мая: Intel заявляет, что эта атака не будет работать на компьютерах с включенной защитой Kernal DMA. Представитель Intel сообщил нам: «Эта атака не может быть успешно продемонстрирована на системах с включенной защитой Kernel DMA. Как всегда, мы призываем всех следовать передовым методам обеспечения безопасности, в том числе предотвращать несанкционированный физический доступ к компьютерам». Компания также опубликовала ответ на исследование в своем блоге.
Атака, получившая название Thunderspy, использует тот факт, что Thunderbolt является портом прямого доступа к памяти. Подобно PCI-Express и Firewire, порты Thunderbolt обращаются к системной памяти непосредственно за пределами ЦП, что обеспечивает высокую скорость передачи. Но именно это делает их уязвимыми для прямых атак на память.
Как видно из демонстрационного видео исследователя безопасности Бьорна Руйтенберга, воспользовавшись доступом Thunderbolt к системной памяти, хакер может получить доступ к вашим данным, даже когда ноутбук заблокирован, а жесткий диск зашифрован.
Атака непростая, хакер должен быть хорошо подготовлен и иметь доступ к вашему ноутбуку. Взлом включает в себя снятие задней панели (нижней части) ноутбука и подключение устройства к материнской плате для перепрограммирования прошивки.
Хотя Рюйтенберг утверждает, что это процесс, который он может выполнить за считанные минуты, это предполагает знакомство с ноутбуком и тем, что необходимо для снятия задней панели (если это вообще возможно). Маловероятно, что ваш оставленный без присмотра ноутбук станет жертвой этой атаки в Starbucks, но ваш украденный ноутбук — это совсем другая история.
По словам Рюйтенберга, ошибка не связана с программным обеспечением и не может быть устранена. Вместо этого необходим редизайн чипа. Другие исследователи, похоже, не согласны, по крайней мере частично, и утверждают, что новая защита на уровне ядра Windows 10 должна хотя бы частично смягчить проблему. И если вы используете macOS, вы также частично защищены.
Далее Рутенберг сказал, что другой вектор атаки может обойти необходимость частичной разборки устройства. Но в этом случае хакеру потребуется доступ к устройству Thunderbolt, ранее подключенному к ноутбуку.
Стоит отметить, что потенциальные уязвимости безопасности Thunderbolt являются одной из причин, по которой Microsoft не будет включать порт на устройства Surface. На данный момент, если вы беспокоитесь, не повлияет ли этот недостаток на ваше устройство, вы можете проверить это на веб- сайте ThunderSpy, созданном Руйтенбергом.
Источник: ThunderSpy через Wired