Помилка Thunderbolt надає хакерам доступ до ваших даних
Нещодавно дослідник опублікував доказ концепції, який показав йому доступ до вмісту заблокованого ноутбука всього за кілька хвилин. Суть недоліку походить від Thunderbolt. Але хоча він отримав доступ до ноутбука, йому потрібен був фізичний доступ, викрутка та готові деталі.
Оновлено, 5/11: Intel каже, що ця атака не працюватиме на комп’ютерах із увімкненим захистом Kernal DMA. Представник Intel сказав нам: «Цю атаку не вдалося успішно продемонструвати на системах з увімкненим захистом ядра DMA. Як завжди, ми заохочуємо всіх дотримуватись належних методів безпеки, включаючи запобігання несанкціонованому фізичному доступу до комп’ютерів.» Компанія також опублікувала відповідь на дослідження в дописі в блозі.
Під назвою Thunderspy атака використовує той факт, що Thunderbolt є портом прямого доступу до пам’яті. Як і PCI-Express і Firewire, порти Thunderbolt мають доступ до системної пам’яті безпосередньо поза центральним процесором, що забезпечує високу швидкість передачі даних. Але це також робить їх уразливими до прямих атак на пам’ять.
Як видно з демонстраційного відео дослідника безпеки Бьорна Руйтенберга, використовуючи переваги доступу Thunderbolt до системної пам’яті, хакер може отримати ваші дані, навіть якщо ноутбук заблокований, а жорсткий диск зашифрований.
Однак атака не проста, хакеру потрібно бути добре підготовленим і мати доступ до вашого ноутбука. Злом передбачає зняття задньої панелі (нижньої частини) з ноутбука та підключення пристрою до материнської плати для перепрограмування прошивки.
Хоча Руйтенберг стверджує, що це процес, який він може виконати за лічені хвилини, він передбачає знайомство з ноутбуком і тим, що потрібно для зняття задньої панелі (якщо це взагалі можливо). Навряд чи ваш ноутбук без нагляду стане жертвою цієї атаки в Starbucks, але ваш вкрадений ноутбук – це інша історія.
За словами Руйтенберга, недолік не є проблемою програмного забезпечення, і його не можна виправити. Натомість необхідний редизайн мікросхеми. Інші дослідники, здається, не згодні, принаймні частково, і стверджують, що новий захист на рівні ядра Windows 10 має принаймні частково пом’якшити проблему. І якщо ви використовуєте macOS, ви також частково захищені.
Далі Рутенберг сказав, що інший вектор атаки може обійти необхідність часткового розбирання пристрою. Але в цьому випадку хакеру знадобиться доступ до пристрою thunderbolt, раніше підключеного до ноутбука.
Варто зазначити, що потенційні вразливості Thunderbolt у безпеці є однією з причин, чому Microsoft не включатиме порт на пристроях Surface. Наразі, якщо ви хвилюєтеся, чи ця вада вплине на ваш пристрій, ви можете перевірити на веб- сайті ThunderSpy, створеному Руйтенбергом.
Джерело: ThunderSpy через Wired