O pesquisador de segurança Björn Ruytenberg identificou uma falha de segurança na interface Thunderbolt 3 (e versões anteriores), desenvolvida em parceria pela Intel e Apple, que torna milhões de PCs vulneráveis a ataques por hackers.

Batizada de ‘Thunderspy’, a falha requer acesso físico a um computador ligado, e consiste em reprogramar o controlador Thunderbolt da máquina para desabilitar recursos de segurança que impedem o uso de dispositivos não autorizados. Com isso abre-se a porta para roubo de dados, mesmo que o HD de um computador esteja criptografado, por exemplo.

A falha pode ser explorada ainda que a porta Thunderbolt esteja “desabilitada”, ou seja, permitindo o tráfego apenas de dados USB e de vídeo. Também funciona mesmo que o usuário siga as práticas recomendadas de segurança como o uso de Secure Boot e senhas fortes na BIOS e sistema operacional.

Como funciona o ataque

O ataque não deixa “rastros” na máquina da vítima, que não terá a menor ideia do que aconteceu. Basicamente, consiste em abrir a tampa inferior do notebook para conseguir acesso à placa-mãe e ao chip que contém o firmware da controladora Thunderbolt. Um adaptador é conectado sobre este chip, o que permite conectá-lo a outro computador e copiar o firmware.

Um utilitário então modifica o conteúdo do firmware, desativando os recursos de segurança, e o regrava no chip. Todo o processo, demonstrado no vídeo abaixo, não leva mais do que cinco minutos.

Segundo Ruytenberg são necessários cerca de US$ 400 em hardware e alguns periféricos para realizar o ataque, mas o pesquisador afirma que é algo que “agências de três letras” (como as norte-americanas CIA, NSA e FBI, ou a FSB russa) não teriam problemas em miniaturizar. PCs com Windows e Linux são vulneráveis ao Thunderspy, mas Macs rodando o macOS não são.

Um recurso desenvolvido pela Intel chamado “Kernel DMA Protection” pode impedir um ataque como o Thunderspy, mas só está disponível em aparelhos produzidos e partir de 2019, e não em todos eles.

De acordo com Ruytenberg, a Intel confirmou que “todas as versões do Thunderbolt são vulneráveis”, mas que além do Kernel DMA Protection “não irá fornecer nenhuma forma de mitigar as vulnerabilidades apontadas pelo Thunderspy”, nem “publicar alertas de segurança para informar ao público”.

Em declaração ao Olhar Digital, a empresa informou que “este ataque não pôde ser demonstrado com sucesso em sistemas com a Kernel DMA Protection habilitada. Como sempre, encorajamos todos a seguir boas práticas de segurança, o que inclui impedir o acesso fisico não autorizado aos computadores”.

Um artigo com o detalhamento do funcionamento do ataque e as vulnerabilidades envolvidas está disponível no site Thunderspy.io, criado por Ruytenberg. Lá, os usuários também podem baixar um utilitário chamado Spycheck que permite checar se uma máquina é ou não vulnerável ao problema.

Fonte: Wired