艾恩德霍芬科技大学的安全研究员BjörnRuytenberg最近发表了一份报告,详细介绍了Thunderbolt 2和Thunderbolt 3中的一系列严重安全漏洞,统称为“ Thunderspy”。
它们会影响具有Thunderbolt 2或Thunderbolt 3端口的每台计算机,包括旧式端口连接器和新的Type-C连接器,无论计算机运行的是Windows,Linux还是macOS。
此安全漏洞对Mac用户有多严重的影响?下次您下班起床为咖啡加注时,您是否应该对有人侵入MacBook感到恐惧?
[进一步阅读:了解有关macOS Catalina的更多信息]
目录
七个Thunderspy漏洞
你怎么会被黑
你应该怎么做
你应该担心吗?
七个Thunderspy漏洞
Ruytenberg在他的论文中描述了七个漏洞。它们如下。
固件验证方案不足。
弱设备认证方案。
使用未经身份验证的设备元数据。
向后兼容。
使用未经身份验证的控制器配置。
SPI闪存接口缺陷。
Boot Camp上没有Thunderbolt安全性。
确切地理解这些含义以及如何利用它们破坏具有Thunderbolt端口的系统超出了本文的范围。
只需知道这一点:Mac在运行macOS时仅容易受到漏洞2和3的影响,甚至仅部分受到此漏洞的影响。使用Boot Camp在Mac上运行Windows或Linux 会使您容易受到所有这些攻击。
你怎么会被黑
好消息是,利用这些漏洞,黑客入侵Mac不一定很容易。他们必须对您的计算机和准备好的Thunderbolt黑客设备具有物理访问权限。
这些漏洞通常称为“邪恶女仆”威胁。它们要求攻击者至少几分钟内不受阻碍且未被检测到对您的计算机的访问。如果您关闭MacBook的盖子并在咖啡店中离开MacBook,则几乎不可能有人能够利用这些漏洞利用。
这些漏洞中最严重的漏洞可能在Mac处于睡眠模式时发生,而在关闭电源时则不会发生。
英特尔已就这些威胁发表声明。
在2019年,主要的操作系统实施了内核直接内存访问(DMA)保护以缓解此类攻击。这包括Windows(Windows 10 1803 RS4和更高版本),Linux(内核5.x和更高版本)和MacOS(MacOS 10.12.4和更高版本)。研究人员没有证明启用了这些缓解措施的系统对DMA的成功攻击。请与 系统制造商联系, 以确定您的系统是否包含这些缓解措施。对于所有系统,我们建议您遵循标准的安全惯例,包括仅使用受信任的外围设备以及防止对计算机进行未经授权的物理访问。
这里真正的担心是Boot Camp用户。在Boot Camp中,Apple将Thunderbolt控制器设置为“无”安全级别(SL0),这意味着可以访问正在运行Boot Camp的计算机的黑客可以绕开锁定屏幕轻松访问RAM或硬盘的内容。
对于运行macOS的用户,请确保至少已更新到macOS 10.12.4。如果有的话,Thunderspy漏洞的实际危险非常小。如果您的macOS版本较旧,则具有物理访问Thunderbolt端口的黑客可能会复制RAM或存储的内容。
即使使用最新的macOS,黑客也可以制造Thunderbolt设备,该设备复制官方支持的设备的合法安全ID,然后使用它执行一些基于端口的攻击,类似于黑客在USB端口上可以执行的操作。与直接访问您的RAM或存储的内容相比,它们往往速度较慢且范围有限。
你应该怎么做
鲁伊滕贝格(Ruytenberg)提出了Mac用户可以采取的一些措施来保护自己:
仅连接您自己的Thunderbolt外设。切勿将其借给任何人。
避免在开机时使系统处于无人看管的状态,即使屏幕锁定也是如此。
避免使Thunderbolt外设无人看管。
存储系统和任何Thunderbolt设备(包括支持Thunderbolt的显示器)时,请确保适当的物理安全性。
考虑使用休眠(挂起至磁盘)或完全关闭系统电源。具体来说,请避免使用睡眠模式(挂起至RAM)。
如果您使用Boot Camp在Mac上运行Windows或Linux,请确保在无人看管时将其关闭。如果您仅在运行macOS,请确保已更新到最新版本的macOS,并且对Thunderbolt设备采取与对USB设备相同的预防措施。如果您不知道Thunderbolt设备在哪里,请不要将其插入Mac,也不要让Mac处于打开状态(即使已锁定),也不要有人在无人值守的地方进行访问。
你应该担心吗?
大多数Mac用户不应特别担心此特定的安全漏洞。如果您的macOS安装不是过时的并且您正在练习良好的物理安全性(不要让Mac处于打开状态且无人看管,如果您不知道设备的位置,请不要插入设备),不必担心这种攻击方式。使用Wi-Fi或蓝牙,或试图用软件通过因特网下载到感染您的计算机的远程攻击,都 远远不是像这些需要到您的计算机的物理访问的攻击越来越普遍。
尤其在公共场所运行Boot Camp的用户应格外小心。通过Boot Camp运行Windows或Linux时,Mac上的Thunderbolt端口或多或少是敞开的。我们可能期望Apple会发布软件更新,以使Boot Camp在不久的将来更加安全。如果必须使用Boot Camp,则应在无人看管的情况下完全关闭Mac。