更多

    Thunderbolt 晶片爆「七宗罪」! 10 年 MacBook 、 PC 無一倖免!

    Mickey Chan
    Mickey Chan
    愛騎單車的宅,眼鏡娘控。 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    【突發】Facebook 改 Code 累炒多款 iOS 程式!

    不少提供 Facebook 登入的 iOS 程式如 Spotify 、 Pinterest 、 MarioKart Tour 等在今晚 7 時左右都同時出現彈 App 問題。後來 Facebook 發出通告證實是跟他們更改程式碼有關,並於晚上 10 時左右解決問題。

    全球第二季電腦銷情報告發表    疫情下居家工作推動電腦銷情

    市場調查機構 IDC 發表 2020 年第二季度( 4 至 6 月)全球電腦出貨量報告,比起去年同期增加 11.2% ,達 7,230 萬台。顯示在疫情蔓延至全球下,各國都要求企業員工居家工作,因而帶動電腦需求上升。 自今年第...

    iOS 14 、 iPadOS 14 公測開始! 教你如何參加公測

    繼日前推出 iOS 14 開發者測試版之後, Apple 昨晚也推出了 iOS 14 和 iPadOS 14 公測版。大家只要用手機的 Safari 登入 beta.apple.com 登記參加 Beta 測試,即可以試用 iOS 14 的全新功能。

    Thunderbolt 爆出 7 大驚人漏洞,攻擊者可以在鎖上電腦甚至硬碟已加密的情況下竊取資料,受影響的包括舊版獨立 Thunderbolt 端口,以至近年所採用、兼容 USB-C 的 Thunderbolt 3 端口, 2011 年至 2020 年發售採用 Thunderbolt 端口的電腦都無一倖免,重災區當年是多年來都採用 Thunderbolt 端口的 MacBook 筆電了。

    無論是以前的獨立 Thunderbolt 2 (右下),或是現在兼容 USB-C 的 Thunderbolt 3都同告失守。
    無論是以前的獨立 Thunderbolt 2 (右下),或是現在兼容 USB-C 的 Thunderbolt 3 都同告失守。

    漏洞是由保安專家 Björn Ruytenberg 揭發的,他發現問題出自 Intel 的 Thunderbolt 晶片身上,而且有 9 種破解方法,現時並沒有方法可以偵測到電腦已被入侵。「七宗罪」包括:

    1. 固件驗證方案不完善;
    2. 設備認證方案貧弱;
    3. 使用未經身份驗證的設備元數據;
    4. 可透過向後兼容性進行降級攻擊;
    5. 使用未經身份驗證的控制器配置;
    6. SPI 閃存接口缺陷;
    7. 沒有對 Boot Camp 進行 Thunderbolt 保安

    保安專家展示透過漏洞從受害 Windows 上將用戶身份資料複製到攻擊者控制的裝置。
    保安專家展示透過漏洞從受害 Windows 上將用戶身份資料複製到攻擊者控制的裝置。

    Björn Ruytenberg 以 Thunderspy 的名義在 YouTube 上貼上了兩段影片,一條影片顯示他利用上述漏洞 5 在 5 分鐘之內破解一部採用 Thunderbolt 端口的 Lenovo Thinkpad 的鎖定畫面,另一條影片就示範他如何利用漏洞 6 來完全關閉一部 Intel NUC 迷你電腦的 Thunderbolt 保安。

    ▼示範 1 :利用漏洞 5 在 5 分鐘之內破解採用 Thunderbolt 端口的 Lenovo Thinkpad 的鎖定畫面

    [ot-video][/ot-video]

    ▼示範 2 :利用漏洞 6 來完全關閉 Intel NUC 迷你電腦的 Thunderbolt 保安

    [ot-video][/ot-video]

    Björn Ruytenberg 在文件中列舉出各漏洞的破解方法,每個破解方法都需要實質上拿到電腦連接電路板。不過從影片顯示破解過程只需 5 分鐘,所以不小心離開電腦一會,就有可能被入侵。

    他已將漏洞報告通知了 Intel 和 Apple ,不過由於漏洞出於 Thunderbolt 晶片,現時不能透過軟件更新來解決問題。

    Thunderbolt 3 兼容 USB-C ,提供 40Gbps 傳輸、雙 4K@60fps 顯示、 100W 大功率供電,並支援多種連接規格,將來也會整合到 USB 4 規格中。
    Thunderbolt 3 兼容 USB-C ,提供 40Gbps 傳輸、雙 4K@60fps 顯示、 100W 大功率供電,並支援多種連接規格,將來也會整合到 USB 4 規格中。

    其實今次已經不是第一次 Thunderbolt 被發現漏洞, 2019 年就被發現一個名為「 Thunderclap 」的漏洞。由於 Thunderbolt 3 將會整合到 USB 4 規格中,保安專家指 USB 4 控制器和裝置可能都會有同樣的漏洞,需要在 USB 4 控制器推出時進行詳細的檢查。

    相關文章