Thunderspy: razlog več, da prenosnika ne puščate samega
Dare Hriberšek
12. maj 2020 ob 19:10:04
Nizozemski raziskovalec Björn Ruytenberg je razkril, kako z izvijačem in prirejeno Thunderbolt napravo v petih minutah vdreti v prenosnik in prevzeti nadzor nad podatki. Metoda Thunderspy se zanaša na varnostno luknjo strojne narave v vmesniku Thunderbolt. Ta deluje na vodilu PCI-e in ima zato neposreden dostop do podatkov v delovnem pomnilniku (DMA), kar nepridipravom omogoča popoln dostop do podatkov. Postopek si lahko ogledate tudi v videoposnetku.
Metoda je močno omejena s tem, da zahteva neposreden dostop do računalnika in to najmanj nekaj minut. V tem času je potrebno prenosnik odpreti, priključiti posebno zunanjo napravo in z njeno pomočjo naložiti nov firmware. A po drugi strani na ta način obidemo vse, še tako močne zaščite, kot je denimo Secure Boot, pa z geslom zaščitena BIOS in operacijski sistem ter celostno šifriranje diska. Thunderspy tudi ne zahteva nobenega sodelovanja uporabnika ter po končani operaciji ne pušča vidnih sledov, ki bi žrtvi dale vedeti, kaj se je zgodilo.
Kot trdi Ruytenberg, Thunderspy ogroža uporabnike Windows, Linux na domala vseh napravah kupljenih pred letom 2019, uporabnike MacOS pa le deloma. So pa tudi maci ogroženi, kadar prek orodja Boot Camp poganjajo Windows ali Linux. Vmesnik Thunderbolt je ogrožen v različicah 1, 2 in 3, zelo verjetno pa bo prizadel tudi prihajajočo štirico, kot tudi druge povezane bodoče standarde, denimo USB4, zlasti, ker ranljivosti ni mogoče zakrpati s programsko nadgradnjo.
Ruytenberg je o varnostni vrzeli že pred meseci obvestil Apple in Intel, obe družbi sta vmesnik namreč skupaj razvili pred skoraj desetletjem, nadaljnji razvij pa je nato prevzel sam Intel. Pri Applu so odgovorili, da problema ne nameravajo reševati, predvsem zato, ker njihovih uporabnikov neposredno ne zadeva. Podobno so se izvili predstavniki Intela, češ, da so ranljivost že lani zakrpali z mehanizmom, imenovanim Kernel Direct Memory Access, uporabnikom pa na varnostnem blogu svetovali, da naj "računalnika ne puščajo samega in da naj v vmesnik priklapljajo le zanesljive naprave znanega izvora". Kernel Direct Memory Access imajo posledično le naprave kupljene v zadnjem času, pa še to ne vse; kot poroča Wired, ga na primer nima noben Dellov prenosnik.
Za tiste, ki jih skrbi, so Ruytenberg in sodelavci z Univerze v Eindhovnu objavili tudi orodje, imenovano Spycheck, s katerim lahko preverite ali je vaša naprava potencialno ogrožena.