Thunderbolt爆安全漏洞!骇客5分钟即可攻破 2019年前产品都遭殃
▲骇客仅需一把螺丝起子,即可在 5 分钟内利用电脑上的 Thunderbolt 连接埠存取内部所有资料。(图/取自维基百科)
日前有爆料人士透露,微软 Surfaces 产品不采用 Thunderbolt 3 介面是出于安全考量,该说法近日被进一步证实。据外媒报导,一名荷兰研究人员指出,骇客仅需一把螺丝起子,即可在 5 分钟内利用电脑上的 Thunderbolt 连接埠存取内部所有资料,影响遍及 2019 年前所有支援 Thunderbolt 的 Windows 或 Linux 电脑。
《WIRED》报导,欧洲顶尖理工大学荷兰恩荷芬理工大学(Eindhoven University of Technology)研究员 Björn Ruytenberg 揭露了一个称作「Thunderspy」的攻击手法。他指出,2019 年前生产的所有 Windows 或 Linux 电脑,只要支援 Thunderbolt,即便设备已加密、锁定或进入休眠状态,骇客仍可透过 Thunderbolt 连接埠对设备进行「实体存取」(physical access),窃取电脑中所有资料。
此种攻击手法必须透过螺丝起子开启设备的外壳,但的确可以做到「完全无侵入痕迹」,技术好的骇客仅需几分钟即可完成。这为「邪恶女佣攻击」(Evil maid attack)开辟了一条新途径,该攻击模式是指骇客在四下无人的情况下与设备「独处」几分钟,便能窃走设备所有资料,且可完全不留痕迹。
Björn Ruytenberg 指出,这种攻击手法没办法透过任何软体修复程式来防止,只能「完全禁用 Thunderbolt 连接埠」。
安全研究人员长期以来一直对 Thunderbolt 的安全问题存有疑虑,Thunderbolt 能更快地将资料传输至外部设备最主要的原因,就是其允许较其他连接埠更直接地存取设备的记忆体,而这就极有可能出现安全漏洞。如去年 2 月,一研究团队就发现了一组名为 Thunderclap 的 Thunderbolt 元件缺陷,恶意设备仅需插入 Thunderbolt 连接埠即可绕过所有安全设施。
英特尔于去年建立了一种可用于防止 Thunderspy 攻击的机制,称作「内核 DMA 保护」(Kernel Direct Memory Access Protection),但 2019 年的所有设备都不具备该功能。这也是为什么 Thunderspy 的攻击范围遍及 2019 前所有 Windows 或 Linux 电脑的原因。
知名硬体安全研究人员、SR Labs 创办人 Karsten Nohl 表示,Thunderbolt 是「邪恶女佣攻击」的可行破口并不令人意外,基本上也不会吓到太多用户,毕竟这得在骇客能够与设备独处几分钟的情况下才可执行。他真正感到惊讶的是看到英特尔的「security levels」可以轻易地被绕过,「要添增对抗硬体攻击的验证方案,但却在不安全的硬体中执行...这是解决硬体安全问题的错误方式。」
没有任何一种软体能完全防止 Thunderspy 攻击,最具体的作法就是不要让自己的设备处在「无人看管」的状态。如果真的担心或怀疑自己的设备已被攻击,恩荷芬理工大学研究人员也开发了一款名为Spycheck 的免费开源工具,可协助用户确认自己的设备是否存在可能招致攻击的漏洞。
►微软Surface设备不支援Thunderbolt 3 爆料人士揭密原因!