如何保护您的 Mac 免受 Thunderbolt 安全漏洞的影响
就在几周前,一段视频被泄露,视频中一名微软员工讨论了微软对 Thunderbolt 3 的立场——表明它没有在 Surface 产品上使用,因为出于对”间接内存访问”的担忧,它被认为不安全。 .”
现在,埃因霍温技术大学的安全研究人员详细介绍了英特尔和苹果联合开发的 Thunderbolt 接口协议中的多个严重安全漏洞。
安全研究员 Björn Ruytenberg 的 报告详细介绍了 Thunderbolt 2 和 Thunderbolt 3 中的安全漏洞(称为”Thunderspy”)。
这些漏洞会影响 2019 年之前生产的任何具有 Thunderbolt 2 或 Thunderbolt 3 端口的 Windows、Linux 或 macOS 计算机。
Ruytenberg 强调了七个漏洞:
- 固件验证方案不充分
- 弱设备身份验证方案
- 使用未经身份验证的设备元数据
- 利用向后兼容性降级攻击
- 使用未经身份验证的控制器配置
- SPI 闪存接口缺陷
- Boot Camp 上没有 Thunderbolt 安全
根据 Ruytenberg 的说法,最新的 macOS 没有任何保护。他解释说,黑客可以使用 Thunderbolt 设备(这将花费数百英镑)复制您设备的安全 ID,然后用它来执行基于端口的攻击。</p>
黑客需要对您的计算机进行物理访问,但有可能绕过密码保护和加密的硬盘驱动器。
根据 Ruytenberg 的说法,这些漏洞无法完全通过软件修补。需要重新设计硬件来消除它们。
Ruytenberg 在视频中演示了攻击的原理。他打开联想 ThinPad 笔记本电脑的外壳并连接他的黑客硬件。该配件会停用笔记本电脑的安全屏障,并让黑客登录,就好像他拥有受保护硬件的密码一样。该过程只需几分钟。
Thunderspy 并不是安全专家在 Thunderbolt 中发现的第一个安全漏洞。 2019 年发现了一个漏洞,允许黑客通过 USB-C 或 DisplayPort 接管设备。
您面临 Thunderspy 的风险吗?
作为 Mac 用户,您应该担心吗?并不过分。
现在不用担心的一个关键原因是,要通过 Thunderbolt 端口访问您的 Mac,犯罪分子需要访问您的 Mac 大约五分钟,并需要一个 Thunderbolt 黑客设备。在当前处于锁定状态的情况下,任何怀有恶意的人不太可能访问您的 Mac。所以还没有必要惊慌,但是当我们工作或学习的时候被允许去咖啡馆坐一坐怎么办?
然而,即使是那些将 Mac 带到户外的 Mac 用户也没有真正的理由担心。对于初学者来说,Mac 仅部分容易受到上述两个漏洞的影响:
- 弱设备身份验证方案
- 使用未经身份验证的设备元数据
但有一个例外:如果您通过 Mac 上的 Boot Camp 运行 Windows 或 Linus,那么您很容易受到所有漏洞的影响。
这是因为当 Mac 用户通过 Boot Camp 启动 Windows 时,Thunderbolt 控制器被设置为安全级别”无”(SLO)。这意味着黑客(拥有访问权限和正确的设备)可以绕过锁定屏幕并访问您的 RAM 或硬盘驱动器的内容。
如何保护自己免受 Thunderbolt 黑客攻击
- 至少更新至 macOS 10.12.4。这将最大限度地减少 Thunderspy 漏洞的危险。
- 即使安装了最新的 macOS,您也应该确保 Mac 永远不会在无人看管的情况下处于开启状态 – 即使屏幕已锁定。
- 如果您不知道设备来自何处,切勿将其连接到 Mac。同样,您也不应该与他人共享您自己的 Thunderbolt 外围设备。并且不要让 Thunderbolt 外围设备无人看管。
- 如果您使用 Boot Camp,请在 Mac 无人看管时将其关闭。
- 我们预计 Apple 将在不久的将来发布软件更新,以使 Boot Camp 更加安全。当它发生时,你应该升级。
Ruytenberg 还建议用户:
- 在存储系统和所有 Thunderbolt 设备(包括 Thunderbolt 供电的显示器)时提供足够的物理安全性。
- 考虑使用挂起至磁盘或完全关闭系统。特别是,避免使用 Suspend-to-RAM。
英特尔的声明
在博客文章,英特尔对 Thunderspy 作出回应称这种差距并不新鲜。英特尔声称去年发布的新操作系统已经解决了这个问题。
然而,据《连线》报道,这种内核直接内存访问保护尚未被所有硬件制造商实现。戴尔设备中未发现保护。只有少数联想和惠普笔记本电脑使用它。根据 Ruytenberg 的说法,保护自己免受 Thunderspy 攻击的唯一方法是在 BIOS 中停用 Thunderbolt。
英特尔声明:2019 年,主要操作系统实施了内核直接内存访问 (DMA) 保护,以减轻此类攻击。这包括 Windows(Windows 10 1803 RS4 及更高版本)、Linux(内核 5.x 及更高版本)和 MacOS(MacOS 10.12.4 及更高版本)。研究人员并未展示针对启用了这些缓解措施的系统的成功 DMA 攻击。请咨询您的系统制造商,以确定您的系统是否包含这些缓解措施。对于所有系统,我们建议遵循标准安全实践,包括仅使用受信任的外围设备并防止未经授权的物理访问计算机。
这是有关英特尔决定不使用 Thunderbolt 的推文
Surfaces 没有 Thunderbolt 因为它不安全? pic.twitter.com/lb7YYOOQ4Y
—WalkingCat (@h0x0d) 2020 年 4 月 25 日 块引用>
如果您对 Mac 安全状况感兴趣,您可能有兴趣阅读以下内容:
最佳 Mac 防病毒软件的评论。