根據 WIRED 的報導指,荷蘭埃 Eindhoven University of Technology 的研究員 Björn Ruytenberg 發現,2019 年前生產的電腦 (包含 Windows 、Linux),只要有提供 Thunderbolt 接口,就能利用名為「Thunderspy」的工具進行入侵。即使電腦處於鎖定或休眠狀態下,黑客皆可透過 Thunderbolt 直接進行實體存取,偷走電腦中的所有資料。
Björn Ruytenberg 指,由於漏洞不是在軟件層面,且存在於 2011 – 2020 年間的 Thunderbolt 的晶片當中,所以擁有 Thunderbolt 的機種都可以利用這種型式入侵。而他亦示範了這個入侵的方式,也預計在今年舉辦的 Black Hat 大會上,詳細展示如何利用「Thunderspy」在 5 分鐘內完成入侵。
簡單而言,只要你的電腦支持 Thunderbolt (包含各個版本),在電腦處於無人看管下,「有心人」就可直接透過 Thunderbolt 進行入侵,盜取你電腦的資料。看來近年來大量使用 Thunderbolt 的 Macbook 將會是受影響產品的重災區了。
2020/05/ 20 更新 - Intel 回應
來自 Intel Product Assurance and Security Director of Communications 的 Jerry Bryant 在 Blog 上,說明最近名為「Thunderspy」的 Thunderbolt 安全漏洞之疑慮。
在 2020 年 2 月時 Eindhoven University of Technology 的研究員跟 Intel 聯繫,報告了 Thunderbolt 的問題。報告中,使用物理連接的方式進行破解,但這問題已在之前 Windows 更新中已解決了這問題。在 2019 年主要作業系統都針對 Kernel Direct Memory Access (DMA) 進行保護,確保不會有上述「Thunderspy」的問題出現。
這在 Windows (Windows 10 1803 RS4 and later)、Linux (kernel 5.x and later) 與 MacOS (MacOS 10.12.4 and later) 都已更新,也請各位用戶聯繫電腦製造商,或者進行作業系統的升級。
更多資訊可參考 Microsoft article on Thunderbolt Security in Windows 10 與 corresponding articlerticle。總之,這問題應該早在之前作業系統就針對核心的 DMA 進行保護,避免這種物理性的攻擊,提供給各位參考。
