埃因霍温科技大学的一位安全研究员宣布,在Thunderbolt连接标准中发现的漏洞可以让黑客在几分钟内访问被锁定笔记本电脑硬盘的内容。Wired报告说,这些漏洞影响到2019年之前生产的所有支持Thunderbolt的PC。
尽管黑客需要物理访问Windows或Linux计算机才能利用这些缺陷,但理论上,即使笔记本电脑被锁定、密码保护、硬盘加密,他们也可以在大约5分钟内访问所有数据。据报道,整个过程可以用一系列现成的组件完成,成本仅为几百美元。也许最令人担忧的是,研究人员说,这些缺陷无法在软件中修补,需要重新设计硬件才能完全修复这些问题。
苹果的Mac电脑自2011年起就提供Thunderbolt连接,但研究人员表示,如果他们运行macOS,他们只会受到Thunderpy的“部分影响”。报告声称,结果是macOS系统容易受到类似BadUSB的攻击。这是2014年出现的一个安全漏洞,可以让受感染的USB设备控制电脑、窃取数据或监视用户。
发现漏洞的研究人员比约恩·吕滕贝格(Björn Ruytenberg)发布了一段视频,展示了攻击是如何进行的。在视频中,他取下背板,将一个设备连接到一台受密码保护的联想ThinkPad笔记本电脑的内部,禁用其安全性,并像拥有密码一样登录。整个过程大约需要5分钟。
这不是第一次有人对英特尔的Thunderbolt技术提出安全问题,该技术依靠直接访问计算机内存来提供更快的数据传输速度。2019年,安全研究人员发现了一个他们称之为“Thunderclap”的Thunderbolt漏洞,该漏洞允许看似无害的USB-C或DisplayPort硬件危害设备。据报道,这些安全问题是微软没有在其地面设备上添加Thunderbolt连接器的原因。
英特尔在一篇回应该报告的博客文章中称,潜在的漏洞并不是新出现的,而且在去年发布的操作系统中已经解决了这个问题。然而,Wired报告称,这种内核直接内存访问(DMA)保护尚未普遍实现。安全研究人员说,他们只能验证一些惠普和联想笔记本电脑使用了它,而且他们找不到任何应用了这种保护的戴尔电脑。在发给Verge的邮件评论中,戴尔的一位发言人对这一发现提出了质疑,并表示在2019年,戴尔开始销售启用SecureBoot时具有内核DMA保护的笔记本电脑。
最终,Ruytenberg说,用户完全防止这种攻击的唯一方法是禁用计算机BIOS中的Thunderbolt端口,启用硬盘加密,并在无人看管的情况下关闭计算机。研究人员开发了一个名为Spycheck的软件(可从Thunderpy网站获得),他们说该软件可以告诉你你的机器是否容易受到攻击。
Thunderbolt 3将集成到USB 4规范中。研究人员说,USB4控制器和外围设备也可能容易受到攻击,一旦可用,就需要进行测试。
更新时间:美国东部时间5月11日上午8:07:更新了有关macOS中漏洞的更多详细信息。
美国东部时间5月12日凌晨3:20更新:更新戴尔对调查结果的回应。
...全的最重要方法之一。当开发人员发现他们的软件中存在漏洞时——无论是操作系统还是应用程序——修补漏洞就是他们修复漏洞的方式。如果忽略这些更新,则会不必要地暴露出漏洞。 ...
...KingRoot这样的一键式根工具的工作原理。KingRoot只是一个漏洞数据库。当您使用应用程序时,它会将您的设备详细信息上载到其服务器,并将相关漏洞下载回设备,从而禁用安全参数。这允许应用程序获得根访问权限。 ...
... iOS上的Scheduled就是这样一个应用程序。该应用程序允许您在iMessage、Facebook Messenger、WhatsApp、Telegram和Twitter以及传统短信上安排消息。它还有一些便利的功能,比如从联系人列表或Facebook好友中导入生日。 ...
...,你可能会想到笨拙的USB硬盘和挑剔的网络共享。但由于Thunderbolt 3电缆的理论传输速率高达40Gbps,外部解决方案现在提供了一些令人兴奋的好处,而不存在显著的传输速率瓶颈。 ...
...模式,您需要两台兼容的Mac电脑,每台电脑都有FireWire或Thunderbolt接口。您还需要一根电缆和任何必要的适配器(如Thunderbolt到FireWire,或Thunderbolt 2到Thunderbolt 3)。 ...
...的原因之一是它的易用性。另一个是免费的。该应用程序允许将多个用户连接到同一台计算机。它还使用AES-256加密,以便第三方无法截获通信数据。 ...
...e恶意软件正通过少数几个受损网站传播。总共发现了14个漏洞,其中7个影响了Safari。其中两个允许恶意软件逃离应用程序沙盒,并获得对iOS的不受阻碍的访问。 这些网站能够在受影响的设备上安装间谍软件,并查找iCloud密钥链...
...加密技术比完整的BitLocker更为有限。 攻击者如何利用此漏洞:不需要利用漏洞!如果您的Windows Home PC未加密,攻击者可以删除硬盘驱动器或启动PC上的其他操作系统来访问您的文件。 解决方案:支付99美元升级到Windows10Professional...
...通过使用api访问谷歌账户的情况。它发现Google+存在安全漏洞,目前正在关闭这项服务,至少对消费者来说是这样。 问题的长短不一之处在于,存在一个安全漏洞,允许第三方开发者访问Google+用户的账户数据,包括姓名、电子邮...