Vďaka chybe Thunderboltu sa môžu hekeri nepozorovane dostať do notebookov

ZDROJ | Pixabay

Hovorí sa, že žiaden notebook nie je bezpečný, ak ostal čo len niekoľko minút s hekerom. Zdá sa, že na tom bude niečo pravdy. Výskumník z oblasti bezpečnosti Björn Ruytenberg ukázal, ako sa dá pomocou jednoduchej techniky a fyzického prístupu dostať do prenosného počítača.

Thunderbolt ponúka extrémne vysoké prenosové rýchlosti vďaka tomu, že poskytuje zariadeniam priamy prístup do pamäte počítača. To však zároveň vytvára množstvo slabých miest, označujú sa ako Thunderclap. Ochrana sa rieši zamedzením prístupu k nedôveryhodným zariadeniam, resp. úplnou deaktiváciou Thunderboltu a umožnením prístupu len cez USB-C a DisplayPort.

ZDROJ | VESA

Ruytenbergerov systém si však dokáže poradiť aj s týmito nastaveniami – zmenou firmvéru ovládajúceho Thunderbolt. Má to jednu nevýhodu, útočník sa musí dostať fyzicky k notebooku. Výhodou je, že po napadnutí neostanú žiadne stopy, používateľ tak netuší, že sa mu niekto nabúral do počítača.

Björn Ruytenberger nazval svoj nástroj Thunderspy. Heker sa musí dostať k počítaču, odskrutkovať zadnú dosku, pripojiť sa k systému a preprogramovať firmvér. Vraj sa to dá stihnúť za päť minút. Celá výbava vyjde na 400 dolárov, vrátane programátora SPI a Thunderbolt periférie za 200 dolárov.

Analyzoval som firmvér a zistil, že obsahuje bezpečnostný stav kontroléra. Vyvinul som teda metódy na zmenu tohto stavu bezpečnosti na „žiadny“. Čiže v podstate zakazuje všetku bezpečnosť.

Björn Ruytenberg, bezpečnostný analytik

Ruytenberg našiel až sedem slabých miest v čipoch Intel Thunderbolt: nedostatočné overovanie firmvéru, slabú autentifikáciu zariadenia, používanie neoverených metaúdajov zariadení, možný útok downgrade pomocou spätnej kompatibility, použitie neoverených konfigurácií radiča, nedostatky rozhrania SPI Flash a žiadne zabezpečenie Thunderboltu v režime Boot Camp.

ZDROJ | TheDigitalArtist (Pixbay)

Intel má bezpečnostné riešenie Kernel Direct Memory Access Protection, ktoré dokáže zabrániť útoku Thunderspy. Je však k dispozícii len pre počítače vyrobené od roku 2019. Ochrana však nie je automaticky na všetkých nových počítačoch, chýba napríklad v modeloch od Dell, Lenovo či HP. Údajne práve zraniteľnosť stojí za tým, prečo nenájdeme Thunderbolt v zariadeniach Surface od Microsoftu.

Pozrite siBezpečnostná chyba ZombieLoad ohrozovala Macy od roku 2011!

Vydýchnuť si môžu majitelia MacBookov, počítače od Apple nie sú podľa Ruytenberga touto chybou ohrozené. Ide však len o tých používateľov, ktorí nepoužívajú utilitu Boot Camp, tá umožňuje prepínanie medzi systémami macOS a Windows.

Bezpečnostní technici ukázali túto chybu Intelu 10. februára a Apple 17. apríla 2020. Ak si chcete overiť, či váš počítač nie je zraniteľný, môžete vyskúšať overovací nástroj Spycheck, ktorý nájdete na webstránke. Ruytenberg radí, že ak sa chcete vyhnúť riziku, nenechávajte zapnutý počítač bez dozoru, nepoužívajte režim spánku a dbajte fyzickú bezpečnosť periférií Thunderbolt.

ZdrojThunderspy,Wired

Komentáre k článku