攻击者可以从霹雳配备PC或Linux计算机窃取数据,即使该计算机被锁定,并根据安全研究人员的数据加密,比约恩Ruytenberg(经由有线)。他写道,使用一种称为“ Thunderspy”的相对简单的技术,可以物理访问您计算机的人可以用螺丝刀和“轻松携带的硬件”在五分钟内获取您的数据。
Thunderbolt通过使设备直接访问您的PC内存来提供极快的传输速度,这还会产生许多漏洞。研究人员以前认为,可以通过禁止访问不受信任的设备或完全禁用Thunderbolt,但允许DisplayPort和USB-C访问来缓解这些弱点(称为Thunderclap)。
但是,通过更改控制Thunderbolt端口的固件,允许任何设备访问,Ruytenberg的攻击方法甚至可以绕过这些设置。更重要的是,这种黑客行为没有留下任何痕迹,因此用户永远不会知道自己的PC已被更改。
如果打算使用Thunderbolt连接,我们强烈建议:仅连接自己的Thunderbolt外围设备;永远不要把它们借给任何人;避免在开机时使系统处于无人看管的状态,即使是屏幕锁定也是如此;避免让您的Thunderbolt外围设备无人看管;在存储系统和任何Thunderbolt设备(包括支持Thunderbolt的显示器)时,确保适当的物理安全性;考虑使用休眠(挂起至磁盘)或完全关闭系统电源。具体来说,请避免使用睡眠模式(挂起至RAM)。
例如,他针对攻击者获得了“邪恶女仆攻击”,这种攻击者可以物理访问旅馆房间中的PC。“所有的邪恶女佣需要做的是拧开的背板,随时连接的设备,重新编程固件,重新安装背板,和邪恶女佣得到全面进入笔记本电脑,” Ruytenberg告诉有线。“所有这些都可以在五分钟之内完成。”
攻击仅需花费约400美元的装备,包括SPI编程器和200美元的Thunderbolt外设。整个事情可以内置到单个小型设备中。鲁伊滕贝格说:“由三个字母组成的机构将这个问题最小化没有问题。”
英特尔最近创建了一个称为内核直接内存访问保护的Thunderbolt安全系统,该系统将阻止Ruytenberg的Thunderspy攻击。但是,该保护仅在2019年及以后生产的计算机上可用,因此在此之前制造的任何型号中都缺少该保护。此外,2019年及以后生产的许多戴尔,惠普和联想生产的PC也不受保护。此漏洞可能解释了为什么Microsoft不在其Surface笔记本电脑中包含Thunderbolt。
Ruytenberg表示,除非您正在运行Boot Camp,否则运行macOS的Apple计算机不受此漏洞的影响。
研究人员于2020年2月10日向英特尔以及4月17日向Apple披露了该漏洞。为了找出您是否容易受到攻击,他们创建了一个名为Spycheck的验证工具。为了保护自己,Ruytenberg写道:“即使在屏幕锁定的情况下,也应避免在开机时无人看管系统”,避免使用睡眠模式并确保Thunderbolt外设的物理安全性。
美国东部时间2020年5月11日3:13 PM更新:英特尔已确认该攻击在启用了内核DMA保护的计算机上不起作用。“在启用了内核DMA保护的系统上,无法成功证明这种攻击。一如既往,我们鼓励每个人都遵循良好的安全习惯,包括防止未经授权的物理方式访问计算机。”一位发言人在声明中对Engadget说道。此外,英特尔还发布了一篇博客文章,就此问题发表了自己的看法。