Thunderbolt Mac 和 PC 中发现的主要安全漏洞:您应该担心吗?
埃因霍温理工大学的安全研究员 Björn Ruytenberg 最近发布了一份报告,详细介绍了 Thunderbolt 2 和 Thunderbolt 3 中的一系列严重安全漏洞,统称为”Thunderspy”。
它们会影响每台配备 Thunderbolt 2 或 Thunderbolt 3 端口的计算机,包括旧式端口连接器和新型 Type-C 连接器,无论计算机运行的是 Windows、Linux 还是 macOS。
此安全缺陷对 Mac 用户的影响有多严重?下次当您从办公桌前站起来给咖啡加咖啡时,您是否会担心有人侵入您的 MacBook?
七个 Thunderspy 漏洞
Ruytenberg 描述了 他的论文。它们如下。
-
固件验证方案不充分。
-
设备身份验证方案较弱。
-
使用未经身份验证的设备元数据。
-
向后兼容性。
-
使用未经身份验证的控制器配置。
-
SPI 闪存接口缺陷。
-
Boot Camp 上没有 Thunderbolt 安全性。
准确了解其中每一项的含义以及如何利用它们来破坏带有 Thunderbolt 端口的系统超出了本文的范围。
只需知道这一点:Mac 仅在运行 macOS 时容易受到漏洞 2 和 3 的影响,即使如此,也只是部分受到影响。使用 Boot Camp 让您容易受到所有这些问题的影响。
您如何被黑客攻击
好消息是,黑客利用这些漏洞入侵您的 Mac 并不一定很容易。他们必须能够物理访问您的计算机和准备好的 Thunderbolt 黑客设备。
这类漏洞通常被称为”邪恶女仆”威胁。它们要求攻击者能够不受阻碍且未被检测到地访问您的计算机至少几分钟。如果你在咖啡店里合上 MacBook 的盖子并离开它一分钟,那么其他人就不太可能利用这些漏洞。
这些漏洞中最严重的可能发生在您的 Mac 处于睡眠模式时,但不会发生在关闭电源时。
<块引用>
2019 年,主要操作系统实施了内核直接内存访问 (DMA) 保护,以减轻此类攻击。这包括 Windows(Windows 10 1803 RS4 及更高版本)、Linux(内核 5.x 及更高版本)和 MacOS(MacOS 10.12.4 及更高版本)。研究人员并未展示针对启用了这些缓解措施的系统的成功 DMA 攻击。请检查您的 系统制造商来确定您的系统是否包含这些缓解措施。对于所有系统,我们建议遵循标准安全实践,包括仅使用受信任的外围设备并防止未经授权的物理访问计算机。
块引用>
真正担心的是 Boot Camp 用户。在 Boot Camp 中时,Apple 将 Thunderbolt 控制器设置为安全级别”无”(SL0),这意味着有权访问运行 Boot Camp 的计算机的黑客可以轻松绕过锁定屏幕,访问 RAM 或硬盘驱动器的内容。
对于运行 macOS 的用户,请确保您已至少更新到 macOS 10.12.4。如果有的话,Thunderspy 漏洞的实际危险非常小。如果您的 macOS 版本较旧,则能够物理访问您的 Thunderbolt 端口的黑客可能会复制 RAM 或存储的内容。
即使使用完全最新的 macOS,黑客也可以制作 Thunderbolt 设备来复制官方支持设备的合法安全 ID,然后使用它来执行一些基于端口的攻击,类似于黑客可以执行的操作在 USB 端口上。与直接访问 RAM 或存储的内容相比,这些方法往往速度较慢且范围有限。
你应该做什么
Ruytenberg 建议 Mac 用户可以采取一些措施来帮助保护自己:
-
仅连接您自己的 Thunderbolt 外围设备。切勿将其借给任何人。
-
避免在开机时让系统无人看管,即使屏幕已锁定。
-
避免让您的 Thunderbolt 外围设备无人看管。
-
存储系统和任何 Thunderbolt 设备(包括 Thunderbolt 供电的显示器)时,确保适当的物理安全。
-
考虑使用休眠(挂起到磁盘)或完全关闭系统电源。具体来说,避免使用睡眠模式(Suspend-to-RAM)。
如果您使用 Boot Camp 在 Mac 上运行 Windows 或 Linux,请确保在无人值守时将其关闭。如果您刚刚运行 macOS,请确保您已更新到最新版本的 macOS,并对 Thunderbolt 设备采取与 USB 设备相同的预防措施。如果您不知道 Thunderbolt 设备在哪里,请勿将其插入您的 Mac,也不要让您的 Mac 在无人看管的情况下处于开启状态(即使已锁定),以便人们可以访问它。
你应该担心吗?
大多数 Mac 用户不应该非常担心这个特定的安全漏洞。如果您安装的 macOS 还没有过时,并且您采取了良好的物理安全措施(不要让 Mac 处于开机状态且无人看管,如果您不知道设备在哪里,请勿插入设备)不必担心这种攻击方式。使用 Wi-Fi 或蓝牙的远程攻击,或者尝试使用通过互联网下载的软件感染您的计算机,比需要物理访问您的计算机的此类攻击更为常见。
运行 Boot Camp 的用户,尤其是在公共场所,应特别小心。当通过 Boot Camp 运行 Windows 或 Linux 时,Mac 上的 Thunderbolt 端口或多或少是开放的。我们可以预期苹果会在不久的将来发布软件更新以使 Boot Camp 更加安全。如果您必须使用 Boot Camp,则应在 Mac 无人看管时将其完全关闭。