Thunderbolt爆安全漏洞!駭客5分鐘即可攻破 2019年前產品都遭殃
▲駭客僅需一把螺絲起子,即可在 5 分鐘內利用電腦上的 Thunderbolt 連接埠存取內部所有資料。(圖/取自維基百科)
日前有爆料人士透露,微軟 Surfaces 產品不採用 Thunderbolt 3 介面是出於安全考量,該說法近日被進一步證實。據外媒報導,一名荷蘭研究人員指出,駭客僅需一把螺絲起子,即可在 5 分鐘內利用電腦上的 Thunderbolt 連接埠存取內部所有資料,影響遍及 2019 年前所有支援 Thunderbolt 的 Windows 或 Linux 電腦。
《WIRED》報導,歐洲頂尖理工大學荷蘭恩荷芬理工大學(Eindhoven University of Technology)研究員 Björn Ruytenberg 揭露了一個稱作「Thunderspy」的攻擊手法。他指出,2019 年前生產的所有 Windows 或 Linux 電腦,只要支援 Thunderbolt,即便設備已加密、鎖定或進入休眠狀態,駭客仍可透過 Thunderbolt 連接埠對設備進行「實體存取」(physical access),竊取電腦中所有資料。
此種攻擊手法必須透過螺絲起子開啓設備的外殼,但的確可以做到「完全無侵入痕跡」,技術好的駭客僅需幾分鐘即可完成。這爲「邪惡女傭攻擊」(Evil maid attack)開闢了一條新途徑,該攻擊模式是指駭客在四下無人的情況下與設備「獨處」幾分鐘,便能竊走設備所有資料,且可完全不留痕跡。
Björn Ruytenberg 指出,這種攻擊手法沒辦法透過任何軟體修復程式來防止,只能「完全禁用 Thunderbolt 連接埠」。
安全研究人員長期以來一直對 Thunderbolt 的安全問題存有疑慮,Thunderbolt 能更快地將資料傳輸至外部設備最主要的原因,就是其允許較其他連接埠更直接地存取設備的記憶體,而這就極有可能出現安全漏洞。如去年 2 月,一研究團隊就發現了一組名爲 Thunderclap 的 Thunderbolt 元件缺陷,惡意設備僅需插入 Thunderbolt 連接埠即可繞過所有安全設施。
英特爾於去年建立了一種可用於防止 Thunderspy 攻擊的機制,稱作「內核 DMA 保護」(Kernel Direct Memory Access Protection),但 2019 年的所有設備都不具備該功能。這也是爲什麼 Thunderspy 的攻擊範圍遍及 2019 前所有 Windows 或 Linux 電腦的原因。
知名硬體安全研究人員、SR Labs 創辦人 Karsten Nohl 表示,Thunderbolt 是「邪惡女傭攻擊」的可行破口並不令人意外,基本上也不會嚇到太多用戶,畢竟這得在駭客能夠與設備獨處幾分鐘的情況下才可執行。他真正感到驚訝的是看到英特爾的「security levels」可以輕易地被繞過,「要添增對抗硬體攻擊的驗證方案,但卻在不安全的硬體中執行...這是解決硬體安全問題的錯誤方式。」
沒有任何一種軟體能完全防止 Thunderspy 攻擊,最具體的作法就是不要讓自己的設備處在「無人看管」的狀態。如果真的擔心或懷疑自己的設備已被攻擊,恩荷芬理工大學研究人員也開發了一款名爲Spycheck 的免費開源工具,可協助用戶確認自己的設備是否存在可能招致攻擊的漏洞。
►微軟Surface設備不支援Thunderbolt 3 爆料人士揭密原因!