业界
Thunderbolt漏洞可让黑客在五分钟内窃取您的数据
攻击者可以从霹雳配备PC或Linux计算机窃取数据,即使该计算机被锁定,并根据安全研究人员的数据加密,比约恩Ruytenberg(经由有线)。他写道,使用一种称为 Thunderspy的相对简单的技术,可以物理访问您计算机的人可以用螺丝刀和轻松携带的硬件在五分钟内获取您的数据。
Thunderbolt通过使设备直接访问您的PC内存来提供极快的传输速度,这还会产生许多漏洞。研究人员以前认为,可以通过禁止访问不受信任的设备或完全禁用Thunderbolt,但允许DisplayPort和USB-C访问来缓解这些弱点(称为Thunderclap)。
但是,通过更改控制Thunderbolt端口的固件,允许任何设备访问,Ruytenberg的攻击方法甚至可以绕过这些设置。更重要的是,这种黑客行为没有留下任何痕迹,因此用户永远不会知道自己的PC已被更改。
如果打算使用Thunderbolt连接,我们强烈建议:仅连接自己的Thunderbolt外围设备;永远不要把它们借给任何人;避免在开机时使系统处于无人看管的状态,即使是屏幕锁定也是如此;避免让您的Thunderbolt外围设备无人看管;在存储系统和任何Thunderbolt设备(包括支持Thunderbolt的显示器)时,确保适当的物理安全性;考虑使用休眠(挂起至磁盘)或完全关闭系统电源。具体来说,请避免使用睡眠模式(挂起至RAM)。
例如,他针对攻击者获得了邪恶女仆攻击,这种攻击者可以物理访问旅馆房间中的PC。所有的邪恶女佣需要做的是拧开的背板,随时连接的设备,重新编程固件,重新安装背板,和邪恶女佣得到全面进入笔记本电脑, Ruytenberg告诉有线。所有这些都可以在五分钟之内完成。
攻击仅需花费约400美元的装备,包括SPI编程器和200美元的Thunderbolt外设。整个事情可以内置到单个小型设备中。鲁伊滕贝格说:由三个字母组成的机构将这个问题最小化没有问题。
英特尔最近创建了一个称为内核直接内存访问保护的Thunderbolt安全系统,该系统将阻止Ruytenberg的Thunderspy攻击。但是,该保护仅在2019年及以后生产的计算机上可用,因此在此之前制造的任何型号中都缺少该保护。此外,2019年及以后生产的许多戴尔,惠普和联想生产的PC也不受保护。此漏洞可能解释了为什么Microsoft不在其Surface笔记本电脑中包含Thunderbolt。
Ruytenberg表示,除非您正在运行Boot Camp,否则运行macOS的Apple计算机不受此漏洞的影响。
研究人员于2020年2月10日向英特尔以及4月17日向Apple披露了该漏洞。为了找出您是否容易受到攻击,他们创建了一个名为Spycheck的验证工具。为了保护自己,Ruytenberg写道:即使在屏幕锁定的情况下,也应避免在开机时无人看管系统,避免使用睡眠模式并确保Thunderbolt外设的物理安全性。
美国东部时间2020年5月11日3:13 PM更新:英特尔已确认该攻击在启用了内核DMA保护的计算机上不起作用。在启用了内核DMA保护的系统上,无法成功证明这种攻击。一如既往,我们鼓励每个人都遵循良好的安全习惯,包括防止未经授权的物理方式访问计算机。一位发言人在声明中对Engadget说道。此外,英特尔还发布了一篇博客文章,就此问题发表了自己的看法。