Ett Thunderbolt-fel ger hackare tillgång till dina data
Nyligen publicerade en forskare ett proof of concept som visade honom komma åt innehållet i en låst bärbar dator på bara några minuter. Kärnan i bristen kommer från Thunderbolt. Men samtidigt som han fick tillgång till den bärbara datorn, behövde han fysisk åtkomst, en skruvmejsel och delar från hyllan.
Uppdaterad, 5/11: Intel säger att denna attack inte kommer att fungera på datorer med Kernal DMA-skydd aktiverat. En talesperson för Intel säger till oss, "Denna attack kunde inte demonstreras framgångsrikt på system med Kernel DMA-skydd aktiverat. Som alltid uppmuntrar vi alla att följa goda säkerhetsrutiner, inklusive att förhindra obehörig fysisk åtkomst till datorer." Företaget skrev också ett svar på forskningen i ett blogginlägg.
Attacken, kallad Thunderspy, utnyttjar det faktum att Thunderbolt är en direkt minnesport. Precis som PCI-Express och Firewire, har Thunderbolt-portar tillgång till systemminnet direkt utanför CPU:n, vilket möjliggör höga överföringshastigheter. Men det är också det som gör dem sårbara för direkta minnesattacker.
Som man kan se i säkerhetsforskaren Björn Ruytenbergs demonstrationsvideo, genom att dra nytta av Thunderbolts tillgång till systemminnet, kan en hackare ta sig till din data även när den bärbara datorn är låst och hårddisken är krypterad.
Attacken är dock inte enkel, hackaren skulle behöva vara väl förberedd och behöva tillgång till din bärbara dator. Hacket går ut på att ta av bakplattan (botten) från en bärbar dator och ansluta en enhet till moderkortet för att programmera om den fasta programvaran.
Även om Ruytenberg hävdar att det är en process som han kan åstadkomma på några minuter, förutsätter det att du känner till den bärbara datorn och vad som behövs för att ta bort bakplattan (om det överhuvudtaget är möjligt). Det är osannolikt att din obevakade bärbara dator skulle falla offer för den här attacken på en Starbucks, men din stulna bärbara dator är en annan historia.
Enligt Ruytenberg är felet inte ett programvaruproblem och kan inte åtgärdas. Istället är en omdesign av chip nödvändig. Andra forskare verkar inte hålla med, åtminstone delvis, och hävdar att Windows 10:s nya skydd på kärnnivå åtminstone delvis bör mildra problemet. Och om du använder macOS är du också delvis skyddad.
Rutenberg fortsatte med att säga att en annan vektor för attacken kan kringgå behovet av att demontera enheten delvis. Men i så fall skulle hackaren behöva tillgång till en thunderbolt-enhet som tidigare var ansluten till den bärbara datorn.
Det är värt att nämna att Thunderbolts potentiella säkerhetsbrister är en anledning till att Microsoft inte kommer att inkludera porten på Surface-enheter. För nu, om du är orolig om detta fel påverkar din enhet, kan du kolla på ThunderSpy-webbplatsen Ruytenberg skapade.
Källa: ThunderSpy via Wired