Atak ThunderSpy umożliwia przestępcom kradzież danych z urządzeń z systemem Windows lub Linux wyposażonych w porty Thunderbolt pod warunkiem, że uda im się zdobyć fizyczny dostęp do urządzenia na 5 minut. Sprawa jest poważna – wrażliwe są miliony urządzeń wyposażonych w te złącza i wyprodukowane przed 2019 rokiem.
Thunderbolt to interfejs sprzętowy opracowany przez Intel (we współpracy z Apple), który pozwala użytkownikom skonsolidować przesyłanie danych, ładowanie i podłączanie urządzeń peryferyjnych w jednym złączu. Technologia ta została również powszechnie przyjęta w komputerach, takich jak Dell, HP i Lenovo.
Aby uruchomić atak nazwany “Thunderspy”, potrzebny jest fizyczny dostęp do urządzenia, 5 min wolnego czasu, śrubokręt i przenośny sprzęt. Atakujący może wówczas ominąć ekran logowania zablokowanego lub uśpionego komputera i uzyskać dostęp do danych nie pozostawiając po sobie żadnych śladów.
ThunderSpy – 9 scenariuszy ataku
Björn Ruytenberg, badacz bezpieczeństwa, opracował dziewięć scenariuszy ataku z wykorzystaniem siedmiu wad technologii. Do nich należą: nieodpowiednie schematy weryfikacji oprogramowania układowego, schemat słabego uwierzytelniania urządzenia, użycie nieuwierzytelnionych metadanych urządzenia, atak downgrade przy użyciu kompatybilności wstecznej, wykorzystanie nieuwierzytelnionych konfiguracji kontrolera, niedoskonałości interfejsu flash SPI oraz brak zabezpieczeń Thunderbolt w Boot Camp.
Luki dotyczą wersji 1, 2 i 3 Thunderbolt i można je wykorzystać do tworzenia dowolnych tożsamości urządzeń, klonowania autoryzowanych urządzeń Thunderbolt, a także uzyskiwania łączności PCIe w celu przeprowadzania ataków DMA. Ataki oparte na DMA pozwalają atakującym na włamanie się na komputery w ciągu kilku sekund poprzez podłączenie złośliwych urządzeń typu hot-plug do portu Thunderbolt lub najnowszego USB-C. Nośnikiem ataku może być więc zewnętrzna karta sieciowa, mysz, klawiatura czy drukarka.
ThunderSpy, co zrobić jeśli dysponujesz podatnym urządzeniem
Badacz poinformował firmę Intel, która przyznała, że zdaje sobie sprawę z wad, ale nie będzie wprowadzała dalszych działań poza ochroną jądra DMA. Ze swojej strony zaleca użytkownikom portów sprawdzenie u producentów systemów, czy uwzględniono zabezpieczenia. Zdajmy się więc na własny rozsądek i unikajmy pozostawiania urządzeń bez nadzoru, wyłączajmy system lub przynajmniej używajmy hibernacji zamiast stanu uśpienia.