每个人都有很多理由及做法,不让自己的笔记型电脑陷入无人看管的窘境,但是一位荷兰研究人员却发现了另一个人们无能为力的安全漏洞。面对你的电脑,骇客只需一把螺丝起子,就可在短短 5 分钟的时间里利用你电脑上的 Thunderbolt 连接埠读取并複製所有资料,不论你的电脑是处于加密、锁定,还是设成睡眠状态都一样。
荷兰恩荷芬理工大学(Eindhoven University of Technology)研究人员 Björn Ruytenberg 在一份报告中详细介绍了这种被称之为「Thunderspy」的攻击手法。问题在于 Thunderbolt 属于基于 PCIe 的连接埠,这意味这些连接埠支援直接记忆体存取(Direct Memory Access,DMA)技术,并且允许骇客可透过週边装置直接存取系统的记忆体。
别让电脑陷入无人看管的「邪恶女僕攻击」情境,徒增骇客长驱直入风险
在所谓的「邪恶女僕攻击」(Evil Maid Attack)中,恶意骇客所要做的就只是卸掉笔电背板螺丝、打开背板,连接週边装置,重新编写韧体,重新盖上并锁紧背板,然后就大功告成了。这时恶意骇客便取得完全存取这台电脑的权限。使用者大可上 Thunderspy.io 网站上观看一段有关 Thunderspy 攻击手法的视讯影片,令人不寒而慄的是,整个过程就只需要大约 5 分钟就搞定了。
虽然上述攻击手法确实需要有人亲自在现场卸下笔电的背板,但最令人不安的是,它可以完全规避像是安全启动(Secure Boot)、强健式 BIOS、OS 作业系统密码以及全磁碟加密等最佳安全实践。Thunderspy 攻击十分隐密,这意味着它不会留下电脑被人篡改的任何痕迹。它也不需要潜在受害者的任何配合之举(例如受害者点击网路钓鱼连结、下载恶意软体等)。
Thunderspy 攻击对 Thunderbolt 1/2/3 三个版本都会造成影响,在一篇部落格贴文的总结中,Ruytenberg 列举出会导致 9 种「实效性漏洞入侵」情境的 7 个具体漏洞。令人担忧的是,恩荷芬理工大学研究人员表示,这些漏洞无法透过软体修补来解决,所以有可能会进一步对即将发布的 USB4 和 Thunderbolt 4 等未来标準造成影响。Ruytenberg 针对受到影响的系统指出,凡在 2011 年至 2020 年之间出货之所有搭载 Thunderbolt 连接埠的 Windows 及 Linux 电脑皆会受到影响。
同时根据 Ruytenberg 的报告指出,Mac 电脑在使用 macOS 时只会受到部分影响。苹果(Apple)告诉恩荷芬理工大学研究人员,因为只有在透过 Boot Camp 公用程式运行 Windows 或 Linux 系统时才会对 Mac 电脑有所影响。
检查电脑是否支援 Kernel DMA 保护机制,或透过 Spycheck 工具扫描一番
Ruytenberg 3 个月前向英特尔(Intel)分享了他关于 Thunderspy 的研究结果。现在是 Thunderbolt 技术主要开发商(其最初与苹果一起开发)的英特尔却告知他,「其不会为解决 Thunderspy 漏洞提供任何缓解措施」,包括发布安全公告以通知大众。不过,英特尔确实写了一篇解决 Thunderspy 漏洞的部落格贴文,并声称已在 Tunderclap 漏洞之后的 2019 年修补了这个安全疑虑。
所谓 Tunderclap 漏洞是去年发现的一种 Thunderbolt 週边漏洞,骇客可透过名为内核直接记忆体存取(Kernel DMA)的安全机制来发动漏洞入侵攻击。它还建议人们务必只使用「可信任週边装置」,并防止任何对电脑的「未经授权实体存取」之举。
如果你的电脑具备内核直接记忆体存取保护机制就太好了,但是问题是,你很难在 2019 年之前生产的电脑上找到这项保护机制,甚至,2019 年以后上市的电脑也不一定会支援这样的功能。根据《Wired》杂誌报导,没有一台戴尔(Dell)电脑具备该功能,包括 2019 年以后上市电脑也一样。包括 HP EliteBook/ZBook 2019、联想(Lenovo)ThinkPad P53/X1 Carbon 2019 和搭载 Ice Lake CPU 的联想 Yoga C940 等笔电上就有支援上述保护机制。
只要使用者不要让自己的笔电处于无人看管状况或落入可疑怪人手中,那幺就不会出现让自己崩溃的局面。进一步而言,使用者不应该将自己的 Thunderbolt 週边装置借给任何人,也不应该在无人看管的情况下让电脑进入睡眠状态,即使萤幕已被锁定也不行。
如果你真的很担心的话,恩荷芬理工大学研究人员开发了一种名为 Spycheck 的免费开放原始码工具,可以帮助使用者确认自己电脑是否存在可能招致攻击的漏洞,以及可以保护电脑的方法。当然,使用者大可完全禁用 Thunderbolt 连接埠,但这难免有点太过偏执,毕竟这幺做就再也无法正常享用 Thunderbolt 带来的资料传输快感。
- A New Flaw Means You Can’t Let Your Thunderbolt Laptop Out of Your Sight
