Forskere: USB-C-porten din kan utgjøre en enorm sikkerhetsrisiko
«Thunderclap» kan la tilkoblede enheter ta full kontroll over maskinen din.
Forskere fra University of Cambridge har funnet en svakhet i den såkalte Thunderbolt-standarden, som er tilgjengelig gjennom USB-C-porter i mange moderne PC-er.
Standarden gjør for eksempel at du kan koble til flere høyoppløste skjermer bare ved hjelp av én port, men også tidligere Thunderbolt-versjoner som brukte DisplayPort i stedet for USB-C er omfattet av sårbarheten.
Thunderclap
Den såkalte «Thunderclap»-svakheten innebærer at en person med onde hensikter få tilgang til nærmest hva som helst på maskinen din om du kobler den til et Thunderbolt-basert tilbehør som en dockingstasjon, en skjerm, et nettverkskort eller liknende.
Det skyldes at standarden gir ekstrautstyret direkte tilgang til minnet, såkalt DMA, som gjør at det har langt større frihet til å ta seg til rette enn vanlig USB-C-tilbehør, for eksempel minnepinner.
Det er nødvendig fordi Thunderbolt gjør at man kan koble til komponenter som vanligvis ville sittet inne i maskinen, som for eksempel grafikkort, men uten riktig beskyttelse gir dette altså en stor sikkerhetsrisiko, skriver forskerne. Uten forsvar kan den tilkoblede enheten i praksis ta full kontroll over maskinen din og for eksempel stjele passord, krypteringsnøkler og filer.
Det skal selvfølgelig nevnes at ikke alle PC-er med USB-C har Thunderbolt-støtte. For eksempel har Huaweis Matebook X Pro Thunderbolt ombord, men ikke den nye og rimeligere Matebook 13. Apples nyere Macbook-maskiner har stort sett alle Thunderbolt, og porten er gjerne merket med et lyn-ikon.
Forsvaret heter IOMMU
Hovedforsvaret mot Thunderclap er en enhet som kalles IOMMU (Input-Output Memory Management Unit), men denne har stort sett ikke vært brukt riktig eller ikke vært brukt i det hele tatt. Forskerne sier Windows-versjonene fra 7 til 10 ikke har støttet IOMMU i det hele tatt, med unntak av Windows 10 Enterprise, men også der har støtten vært svært begrenset og ikke nok til å beskytte maskinen.
Linux og FreeBSD støtter IOMMU, men støtten er ikke aktivert som standard i de fleste distribusjoner. MacOS var det eneste av operativsystemene de studerte som aktivt brukte IOMMU, skriver forskerne, men selv her var det falske nettverkskortet de koblet til i stand til å starte systemadministratorprogramvaren, for eksempel.
På MacOS er heller ikke de ulike enhetene beskyttet fra hverandre, så en hacker vil kunne se alt du skriver på tastaturet og alt som er på skjermen.
Har fått oppdateringer
Forskerne sier de har samarbeidet med produsenter om å rette opp i problemene siden 2016. De skriver at MacOS fikset muligheten til å få administratortilgang i oppdatering 10.12.4, men at metoden fortsatt er relevant på et generelt nivå.
Nye Windows-maskiner som leveres med Windows 10-versjon 1803 eller senere har fått IOMMU aktivert, mens maskiner som ble levert før 1803 fortsatt er sårbare.
Linux har fått oppdateringer som skal sørge for å sikre Thunderbolt-porten, og disse er en del av Linux kernel 5.0.
– Mer generelt, siden dette er et nytt område med sårbarheter i stedet for et spesifikt eksempel, tror vi alle operativsystemer er sårbare for liknende angrep, og at mer markante designendringer vil være nødvendig for å rette problemet, skriver forskerne, som anbefaler brukere å oppdatere systemene sine og være varsomme med å koble til ukjente USB-C-enheter til maskinene sine – spesielt på offentlige steder.
De påpeker dessuten at Thunderbolt kan skrus av i fastvaren på mange Windows-maskiner, men at man fortsatt kan ha åpent for skjermsignal, strøm og USB-funksjoner.
- TEST: Huawei Matebook 13: MateBook 13 gjør nærmest narr av konkurrentene
