更多

    Thunderbolt 晶片爆「七宗罪」! 10 年 MacBook 、 PC 無一倖免!

    Mickey Chan
    Mickey Chan
    愛騎單車的宅,眼鏡娘控。 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    iOS 版 iMovie 更新引進字幕微調 強化 HDR 影片編輯

    繼 iOS 14.1 的「相片」程式加入編輯 HDR 影片後, Apple 官方的影片編輯軟件 iMovie iOS 版也進行更新,不單也加入 HDR 影片編輯和分享功能,更加入影片字幕的詳細調校,令到手機剪輯更完善。

    【 Adobe MAX 】Adobe 推出 iPad 版 Illustrator

    繼去年 Photoshop 之後, Adobe 在日前舉行的 Adobe MAX 創新大會中就公布推出旗下另一款主力創作軟件—— iPad 版向量繪圖設計軟件 Illustrator 。

    無線耳機專用? 🤣 部分 Apple 官方 iPhone 12 保護殼無開喇叭孔

    大部分人買新手機時相信都會同時買新機殼,尤其是今次 iPhone 12 系列手機改用直角邊框設計,舊殼不能重用。不過大家今次買官方手機殼時就要留意一下,因為有外國網民在 Reddit 指出在 Apple Store 買來的 iPhone 12 官方手機殼底邊竟然沒有開喇叭孔,用這種手機殼就如把手機「封咀」一樣,難道真的想令 iPhone 12 變成無線耳機專用?

    Thunderbolt 爆出 7 大驚人漏洞,攻擊者可以在鎖上電腦甚至硬碟已加密的情況下竊取資料,受影響的包括舊版獨立 Thunderbolt 端口,以至近年所採用、兼容 USB-C 的 Thunderbolt 3 端口, 2011 年至 2020 年發售採用 Thunderbolt 端口的電腦都無一倖免,重災區當年是多年來都採用 Thunderbolt 端口的 MacBook 筆電了。

    無論是以前的獨立 Thunderbolt 2 (右下),或是現在兼容 USB-C 的 Thunderbolt 3都同告失守。
    無論是以前的獨立 Thunderbolt 2 (右下),或是現在兼容 USB-C 的 Thunderbolt 3 都同告失守。

    漏洞是由保安專家 Björn Ruytenberg 揭發的,他發現問題出自 Intel 的 Thunderbolt 晶片身上,而且有 9 種破解方法,現時並沒有方法可以偵測到電腦已被入侵。「七宗罪」包括:

    1. 固件驗證方案不完善;
    2. 設備認證方案貧弱;
    3. 使用未經身份驗證的設備元數據;
    4. 可透過向後兼容性進行降級攻擊;
    5. 使用未經身份驗證的控制器配置;
    6. SPI 閃存接口缺陷;
    7. 沒有對 Boot Camp 進行 Thunderbolt 保安

    保安專家展示透過漏洞從受害 Windows 上將用戶身份資料複製到攻擊者控制的裝置。
    保安專家展示透過漏洞從受害 Windows 上將用戶身份資料複製到攻擊者控制的裝置。

    Björn Ruytenberg 以 Thunderspy 的名義在 YouTube 上貼上了兩段影片,一條影片顯示他利用上述漏洞 5 在 5 分鐘之內破解一部採用 Thunderbolt 端口的 Lenovo Thinkpad 的鎖定畫面,另一條影片就示範他如何利用漏洞 6 來完全關閉一部 Intel NUC 迷你電腦的 Thunderbolt 保安。

    ▼示範 1 :利用漏洞 5 在 5 分鐘之內破解採用 Thunderbolt 端口的 Lenovo Thinkpad 的鎖定畫面

    [ot-video][/ot-video]

    ▼示範 2 :利用漏洞 6 來完全關閉 Intel NUC 迷你電腦的 Thunderbolt 保安

    [ot-video][/ot-video]

    Björn Ruytenberg 在文件中列舉出各漏洞的破解方法,每個破解方法都需要實質上拿到電腦連接電路板。不過從影片顯示破解過程只需 5 分鐘,所以不小心離開電腦一會,就有可能被入侵。

    他已將漏洞報告通知了 Intel 和 Apple ,不過由於漏洞出於 Thunderbolt 晶片,現時不能透過軟件更新來解決問題。

    Thunderbolt 3 兼容 USB-C ,提供 40Gbps 傳輸、雙 4K@60fps 顯示、 100W 大功率供電,並支援多種連接規格,將來也會整合到 USB 4 規格中。
    Thunderbolt 3 兼容 USB-C ,提供 40Gbps 傳輸、雙 4K@60fps 顯示、 100W 大功率供電,並支援多種連接規格,將來也會整合到 USB 4 規格中。

    其實今次已經不是第一次 Thunderbolt 被發現漏洞, 2019 年就被發現一個名為「 Thunderclap 」的漏洞。由於 Thunderbolt 3 將會整合到 USB 4 規格中,保安專家指 USB 4 控制器和裝置可能都會有同樣的漏洞,需要在 USB 4 控制器推出時進行詳細的檢查。

    您會感興趣的內容

    相關文章