「只要五分鐘」駭客就能透過 Thunderbolt 漏洞竊取你的數據

即便在鎖定狀態下,你 PC 上的加密數據也有可能被盜。

      Thunderbolt flaw data access
Thunderbolt flaw data access


安全專家 Björn Ruytenberg 日前在研究後發現,駭客只需利用一套被稱作「Thunderspy」的技術,就可以輕鬆地在配有 Thunderbolt 連接埠的 PC 或 Linux 電腦上竊取用戶的加密數據。按照他的說法,在駭客能夠親手接觸到裝置的前提下,其實只需要螺絲起子、「簡易的便攜硬體」以及區區五分鐘時間就能得手了。

Thunderbolt 是依靠直接讓外部裝置接入 PC 記憶體的方式來實現超高速的數據傳輸,而這就造成了一些潛在的漏洞。過去研究員認為這些隱患(常被稱作 Thunderclap)可以通過禁止非信任裝置權限,或者限制 Thunderbolt 僅提供 DisplayPort、USB-C 功能的做法來規避,但這似乎並沒法對「Thunderspy」起到效果。

據 Ruytenberg 介紹,他發現的這種攻擊辦法能直接改寫韌體掌控 Thunderbolt 連接埠。因而相關限制會被繞過,外部裝置就能直接接入電腦。值得一提的是,這種攻擊也不會留下絲毫痕跡,用戶很難發現自己的 PC 其實已經不再安全。在接受 Wired 採訪時,Ruytenberg 提到這種手段其實屬於「邪惡女傭攻擊」。「『女傭』要做的就是用螺絲起子拆下電腦的後蓋,然後馬上接入自己的裝置修改韌體,接著在裝回後蓋之後,『女傭』就能(透過 Thunderbolt)掌控電腦了」Ruytenberg 說道,「整個過程在五分鐘內就能搞定」。

除此之外,駭客自己要準備的裝備大概價值 400 美元,其中包括一台 SPI 編程器和差不多 200 美元的 Thunderbolt 配件。所有這些都可以被做到一台小機器裡,Ruytenberg 相信「那些三個字母的機構很容易就能把這套工具小型化」。不過對於這類攻擊,Intel 也不是毫無應對措施。他們最近新推出了一套名為 Kernel Direct Memory Access Protection 的 Thunderbolt 安全系統,它可以抵禦 Ruytenberg 的 Thunderspy 攻擊,但問題是該套方案僅對不早於 2019 年生產的電腦有效。

也就是說,目前市面上仍有大部分來自各品牌的舊款機種要面臨受到這類攻擊的風險,而且可能也是某些產品選擇不配備 Thunderbolt 的原因(比如 Surface?)。而運行 macOS 的 Apple 電腦據 Ruytenberg 所說並不受影響,除非是使用 Boot Camp 的情況。Ruytenberg 之前分別在今年 2 月 10 日和 4 月 17 日將漏洞細節分享給了 Intel 和 Apple,如果你想知道自己的電腦是否有受到攻擊的風險,可以去這個網站上確認一下。