埃因霍溫科技大學的一位安全研究員宣佈,在Thunderbolt連線標準中發現的漏洞可以讓駭客在幾分鐘內訪問被鎖定膝上型電腦硬碟的內容。Wired報告說,這些漏洞影響到2019年之前生產的所有支援Thunderbolt的PC。
儘管駭客需要物理訪問Windows或Linux計算機才能利用這些缺陷,但理論上,即使膝上型電腦被鎖定、密碼保護、硬碟加密,他們也可以在大約5分鐘內訪問所有資料。據報道,整個過程可以用一系列現成的元件完成,成本僅為幾百美元。也許最令人擔憂的是,研究人員說,這些缺陷無法在軟體中修補,需要重新設計硬體才能完全修復這些問題。
蘋果的Mac電腦自2011年起就提供Thunderbolt連線,但研究人員表示,如果他們執行macOS,他們只會受到Thunderpy的“部分影響”。報告聲稱,結果是macOS系統容易受到類似BadUSB的攻擊。這是2014年出現的一個安全漏洞,可以讓受感染的USB裝置控制電腦、竊取資料或監視使用者。
發現漏洞的研究人員比約恩·呂滕貝格(Björn Ruytenberg)釋出了一段影片,展示了攻擊是如何進行的。在影片中,他取下背板,將一個裝置連線到一臺受密碼保護的聯想ThinkPad膝上型電腦的內部,禁用其安全性,並像擁有密碼一樣登入。整個過程大約需要5分鐘。
這不是第一次有人對英特爾的Thunderbolt技術提出安全問題,該技術依靠直接訪問計算機記憶體來提供更快的資料傳輸速度。2019年,安全研究人員發現了一個他們稱之為“Thunderclap”的Thunderbolt漏洞,該漏洞允許看似無害的USB-C或DisplayPort硬體危害裝置。據報道,這些安全問題是微軟沒有在其地面裝置上新增Thunderbolt聯結器的原因。
英特爾在一篇迴應該報告的部落格文章中稱,潛在的漏洞並不是新出現的,而且在去年釋出的作業系統中已經解決了這個問題。然而,Wired報告稱,這種核心直接記憶體訪問(DMA)保護尚未普遍實現。安全研究人員說,他們只能驗證一些惠普和聯想膝上型電腦使用了它,而且他們找不到任何應用了這種保護的戴爾電腦。在發給Verge的郵件評論中,戴爾的一位發言人對這一發現提出了質疑,並表示在2019年,戴爾開始銷售啟用SecureBoot時具有核心DMA保護的膝上型電腦。
最終,Ruytenberg說,使用者完全防止這種攻擊的唯一方法是禁用計算機BIOS中的Thunderbolt埠,啟用硬碟加密,並在無人看管的情況下關閉計算機。研究人員開發了一個名為Spycheck的軟體(可從Thunderpy網站獲得),他們說該軟體可以告訴你你的機器是否容易受到攻擊。
Thunderbolt 3將整合到USB 4規範中。研究人員說,USB4控制器和外圍裝置也可能容易受到攻擊,一旦可用,就需要進行測試。
更新時間:美國東部時間5月11日上午8:07:更新了有關macOS中漏洞的更多詳細資訊。
美國東部時間5月12日凌晨3:20更新:更新戴爾對調查結果的迴應。
... 簡而言之,JotForm是一個線上表單生成器,它允許您釋出表單和收集資料。這個很棒的工具使為您的企業、公司或組織建立表單變得超級簡單。 ...
... iOS上的Scheduled就是這樣一個應用程式。該應用程式允許您在iMessage、Facebook Messenger、WhatsApp、Telegram和Twitter以及傳統簡訊上安排訊息。它還有一些便利的功能,比如從聯絡人列表或Facebook好友中匯入生日。 ...
每個人都應該少花錢多存錢,但這並不容易。生活的需要和慾望會很快壓倒你的預算計劃,讓你爭先恐後地入不敷出。 ...
... 在越獄初期,新的漏洞經常被發現。越獄iOS相對容易,允許安裝自定義應用程式(在本例中是間諜軟體)。幾分鐘內就可以越獄一臺舊的iOS裝置,只需稍作準備。 ...
... 這就是它的用武之地。此服務允許您輕鬆地生成各種產品的高質量產品模型。讓我們看看它提供了什麼以及如何使用它。它可能會改變你做生意的方式! ...
...可以提供幫助。這是一個簡單的前端模板,您可以使用它在幾分鐘內建立一個HTML5網站。但它也足夠強大,你可以使用它作為一個複雜的,充分特色的網站的基礎。 ...
...易入侵。例如,他們可以利用這些資訊來研究特定模型的漏洞。我們建議您立即更改SSID,當您這樣做時,您甚至可以考慮選擇一個有趣的Wi-Fi網路名稱。 ...
...愛好音樂的情侶(或住在同一地址的朋友)的新選擇。Duo允許您與其他人共享Spotify訂閱,但可以為您提供兩個單獨的帳戶。 ...
...,你必須先“停用”它。當你停用你的帳戶時,Twitter會在幾分鐘內從Twitter中刪除你的資料。您的帳戶將被放入一個佇列中進行永久刪除。30天后,Twitter將成為永久刪除你的帳戶及其相關資料的過程。你的資料將被永久刪除,任...