Исследователь безопасности из Нидерландов показал новый метод атаки через порт Thunderbolt, который позволяет взломать устройство под управлением Windows или Linux менее чем за пять минут. Этот метод получил название Thunderspy, с его помощью можно обойти экран блокировки компьютера, изменить системные настройки и получить доступ к данным.
Thunderspy относится к типу атак «evil maid», когда злоумышленник может обойти локальную аутентификацию, но в данном случае необходим физический доступ к устройству. В феврале прошлого года стало известно об атаке Thunderclap, которая позволяла красть данные из памяти операционной системы с помощью периферийных устройств. Тогда компания Intel выпустила механизм безопасности Kernel DMA Protection, который не даёт подключенным по Thunderbolt 3 устройствам получить доступ к Direct Memory Access до того, как будут выполнены определённые процедуры. Эти меры также могут защитить и от Thunderspy, но только в компьютерах, выпущенных после 2019 года.
Дело в том, что компьютеры и периферийные устройства, которые были произведены до 2019 года, в большинстве своём не имеют Kernel DMA Protection. Более того, оказалось, что даже в некоторых новых компьютерах тоже отсутствует поддержка этой функции. Единственный надёжный способ защиты от атаки Thunderspy — отключение порта Thunderbolt.
