新的Thunderbolt漏洞會暴露您的文件：如何檢查您是否安全

研究人員宣布，一個新的Thunderbolt漏洞可能使黑客在幾分鐘之內(nèi)繞過筆記本電腦的安全性，而無需考慮密碼，即可訪問其文件。該漏洞被稱為“ Thunderspy”，可用于帶有加密驅(qū)動器的計算機上，盡管它需要對筆記本電腦進行物理訪問，而且英特爾表示，最近的操作系統(tǒng)(包括Windows，macOS和Linux)已針對該黑客進行了修補。

這不是我們第一次看到Thunderbolt因安全問題而受到指責。去年，發(fā)現(xiàn)了另一種被稱為Thunderclap的漏洞，該漏洞可能允許惡意的USB-C或DisplayPort附件破壞計算機。

埃因霍溫科技大學的研究員比約恩·魯伊滕貝格(BjörnRuytenberg)確定了Thunderspy所依賴的漏洞利用程序。他解釋說：“雷電是隱身的，這意味著您找不到攻擊的任何痕跡。”“這不需要您的介入，即，沒有網(wǎng)絡釣魚鏈接或攻擊者誘騙您使用的惡意硬件。即使您遵循最佳安全性做法，Thunderspy仍然可以工作，即使您短暫離開也可以鎖定或掛起計算機，并且系統(tǒng)管理員已使用安全啟動，強大的BIOS和操作系統(tǒng)帳戶密碼設置了設備并啟用了全盤加密，但Thunderspy仍然可以工作。”

這并不像插入Thunderbolt 3設備并立即被授予訪問權限那樣簡單。它的工作方式是創(chuàng)建任意的Thunderbolt設備標識(通常在連接正宗配件時通常會生成這些標識)，然后克隆用戶授權的Thunderbolt設備。為此，黑客需要物理上訪問目標PC，還需要時間和機會來實際打開它并連接專門構建的硬件。

Ruytenberg說，這仍然足以表明，2011年至2020年之間所有配備Thunderbolt的系統(tǒng)都容易受到攻擊。他發(fā)布了一個名為Spycheck的工具，用于識別系統(tǒng)是否容易受到威脅。

您的PC，Mac或Linux機器是否安裝將取決于所運行軟件的版本。在英特爾的回應中，該芯片制造商指出了去年操作系統(tǒng)的變化。

“在2019年，主要操作系統(tǒng)實施了內(nèi)核直接內(nèi)存訪問(DMA)保護，以緩解此類攻擊，”英特爾產(chǎn)品保證和安全通信總監(jiān)Jerry Bryant寫道。“這包括Windows(Windows 10 1803 RS4和更高版本)，Linux(內(nèi)核5.x和更高版本)和MacOS(MacOS 10.12.4和更高版本)。研究人員沒有證明啟用了這些緩解措施的系統(tǒng)對DMA的成功攻擊。”

Ruytenberg說，對于2019年之前購買的Windows 10系統(tǒng)，沒有解決辦法可以避免Thunderspy漏洞。在2019年或之后購買的產(chǎn)品可能具有英特爾討論的內(nèi)核DMA支持。Linux機器也是如此。

對于macOS，根據(jù)Apple的聲明，僅適用于Thunderspy的某些方面。該公司告訴Ruytenberg：“您概述的某些硬件安全功能僅在用戶運行macOS時可用。”“如果用戶擔心您論文中的任何問題，我們建議他們使用macOS。”

[更新：Apple發(fā)言人向我們指出了安全工程與體系結構負責人IvanKrsti?的演講，他在會議上專門討論了公司為防止這些惡意DMA攻擊所做的工作。“英特爾推出了一種稱為VT-d的技術，該技術可以初始化輸入輸出存儲器管理單元來管理那些類型的DMA傳輸，”Krsti?在演講中大約3分鐘的時候說道。“自2012年OS X Mountain Lion以來，我們就一直使用這項技術來保護內(nèi)核。”

由于進行了這些自定義，“當您可以插入Thunderbolt附件時，該附件已包含在VT-d中，并且不再可以執(zhí)行惡意DMA”，他繼續(xù)說道。在2015年，英特爾證明了VT-d可在UEFI固件內(nèi)使用，以在BIOS引導時在操作系統(tǒng)加載之前保護計算機。蘋果更新以反映這一點，Krsti?表示，2016年將VT-d移至UEFI初始化，以防止惡意的Thunderbolt配件在操作系統(tǒng)啟動前插入后對其產(chǎn)生影響。值得注意的是，這些修改是基于macOS的，因此，如果您使用Boot Camp來運行Windows或Linux，它們將不受其覆蓋-因此Apple向Thunderspy研究人員發(fā)表了評論。]

如果沒有針對Windows PC和Linux機器的全面或相對容易的修復程序，則一般建議對于在連接Thunderbolt的系統(tǒng)上連接的設備以??及無人看管的情況(即使已鎖定)要特別小心。建議，對于大多數(shù)人來說，這種動手操作并不是特別緊迫的問題，但是特別容易受到威脅的人可能希望在UEFI(BIOS)中完全禁用Thunderbolt。