「只要五分钟」骇客就能通过 Thunderbolt 漏洞窃取你的数据

即便在锁定状态下,你 PC 上的加密数据也有可能被盗。

Sanji Feng
Sanji Feng
2020年05月11日, 晚上 11:01
      Thunderbolt flaw data access
安全专家 Björn Ruytenberg 日前在研究后发现,骇客只需利用一套被称作「Thunderspy」的技术,就可以轻松地在配有 Thunderbolt 连接口的 PC 或 Linux 电脑上窃取用户的加密数据。按照他的说法,在骇客能够亲手接触到设备的前提下,其实只需要螺丝刀、「简易的便携硬件」以及区区五分钟时间就能得手了。

Thunderbolt 是依靠直接让外部设备接入 PC 内存的方式来实现超高速的数据传输,而这就造成了一些潜在的漏洞。过去研究员认为这些隐患(常被称作 Thunderclap)可以通过禁止非信任设备权限,或者限制 Thunderbolt 仅提供 DisplayPort、USB-C 功能的做法来规避,但这似乎并没法对「Thunderspy」起到效果。

据 Ruytenberg 介绍,他发现的这种攻击办法能直接改写固件掌控 Thunderbolt 连接口。因而相关限制会被绕过,外部设备就能直接接入电脑。值得一提的是,这种攻击也不会留下丝毫痕迹,用户很难发现自己的 PC 其实已经不再安全。在接受 Wired 采访时,Ruytenberg 提到这种手段其实属于「邪恶女佣攻击」。「『女佣』要做的就是用螺丝刀拆下电脑的后盖,然后马上接入自己的设备修改固件,接着在装回后盖之后,『女佣』就能(通过 Thunderbolt)掌控电脑了」Ruytenberg 说道,「整个过程在五分钟内就能搞定」。

除此之外,骇客自己要准备的装备大概价值 400 美元,其中包括一台 SPI 编程器和差不多 200 美元的 Thunderbolt 配件。所有这些都可以被做到一台小机器里,Ruytenberg 相信「那些三个字母的机构很容易就能把这套工具小型化」。不过对于这类攻击,英特尔也不是毫无应对措施。他们最近新推出了一套名为 Kernel Direct Memory Access Protection 的 Thunderbolt 安全系统,它可以抵御 Ruytenberg 的 Thunderspy 攻击,但问题是该套方案仅对不早于 2019 年生产的电脑有效。

也就是说,目前市面上仍有大部分来自各品牌的旧款机种要面临受到这类攻击的风险,而且可能也是某些产品选择不配备 Thunderbolt 的原因(比如 Surface?)。而运行 macOS 的苹果电脑据 Ruytenberg 所说并不受影响,除非是使用 Boot Camp 的情况。Ruytenberg 之前分别在今年 2 月 10 日和 4 月 17 日将漏洞细节分享给了英特尔和苹果,如果你想知道自己的电脑是否有受到攻击的风险,可以去这个网站上确认一下。
标签: data theft, exploit, flaw, gear, hackers, news, Thunderbolt, thunderspy