近期一份驚人的網絡安全報告指出,原本被 Microsoft 視為 Windows 11 保安核心的 BitLocker 磁碟加密功能,竟然存在一個致命的零日漏洞。這項發現徹底打破了用戶對於「開機即受保護」的假象,更揭示了黑客如何在短時間內,在無需密碼的情況下完全繞過系統預設的保護機制,直接讀取儲存在硬碟中的敏感資料。
這次漏洞的核心問題在於 Windows 11 與硬件受信任平台模組(TPM)之間的溝通機制,在預設情況下,BitLocker 依賴 TPM 來儲存加密密鑰,而無需用戶輸入額外的開機密碼或 PIN 碼。安全專家發現,黑客只需利用一種相對廉價的外部設備,就能攔截主機板與 TPM 晶片傳輸過程中的不加密數據流。由於數據在傳輸時缺乏足夠的封裝保護,攻擊者可以在數秒內成功擷取到解鎖磁碟所需的密鑰,令整台手機或電腦的加密保護瞬間崩潰。
更令人擔憂的是,這種攻擊手法並不局限於具備高超技術的專業黑客。隨着相關攻擊工具的門檻降低,任何能夠物理接觸到電腦設備的人,都有可能在短時間內完成密鑰竊取。對於經常在咖啡店或公共場所工作的香港商務用戶而言,這意味着如果電腦不慎遺失或在視線範圍外被短暫偷取,內裡的私人文件、瀏覽記錄以至公司機密,都將直接暴露在風險之中,完全起不到加密應有的防禦作用。
Microsoft 雖然一直標榜 Windows 11 是歷來最安全的作業系統,但這次事件無疑給其保安聲譽蒙上陰影。報告強調,雖然 Microsoft 提供了更強大的多重驗證選項,例如要求用戶在開機時輸入 PIN 碼,但為了追求用戶體驗的流暢度,系統在出廠及一般設定下並未強制開啟這些進階選項。這種在便利與安全之間的權衡,最終變成了黑客眼中完美的突破口。
面對目前的嚴峻形勢,科技業界建議用戶不能再依賴系統的預設設定。為了自保,Windows 11 用戶必須手動進入群組原則編輯器,強制要求 BitLocker 在啟動時除了檢查 TPM 之外,還必須輸入額外的啟動 PIN 碼或使用實體 USB 啟動密鑰。這種雙重認證方式能有效杜絕僅僅攔截 TPM 訊號就能破解加密的可能性。雖然這會增加幾秒鐘的開機時間,但在數據安全面前,這點不便顯然是必須付出的代價。
