As portas Thunderbolt, da Intel, têm uma vulnerabilidade que permite que hackers acessem conteúdos do HD de um computador em minutos, de acordo com uma pesquisa da Universidade de Tecnologia de Eindhoven, na Holanda. A falha afeta computadores que foram fabricados antes de 2019 e só pode ser explorada com acesso físico à máquina.
Utilizando uma técnica chamada Thunderspy, o pesquisador de cibersegurança Björn Ruytenberg mostra como é possível roubar dados de um laptop, mesmo que ele esteja bloqueado, tenha senha e disco rígido criptografado. É preciso ter alguns acessórios que custam cerca de US$ 400, como ele relatou à revista Wired.
Segundo ele, essa falha não poderia ser corrigida via atualização de software, já que se trata de um problema diretamente no hardware dos dispositivos. Computadores Windows ou Linux com portas Thunderbolt são vulneráveis, enquanto MacBooks com macOS são “parcialmente afetados” pelo Thunderspy – o método consegue acessar até determinada camada do sistema e então a máquina pode ser atacada por métodos similares ao chamado BadUSB.
Ruytenberg publicou um vídeo em que abre um laptop Lenovo ThinkPad , pluga um dispositivo e consegue desabilitar os protocolos de segurança para acessar todos os dados em cerca de 5 minutos.
Apesar do tempo curto, explorar a brecha é um pouco trabalhoso, uma vez que exige ter acesso físico ao computador e abrir sua carcaça. Mesmo assim, a falha mostra que computadores roubados estariam extremamente vulneráveis, por exemplo.
Essa não é a primeira vez que as portas Thunderbolt mostram falhas de segurança. O componente parece ser vulnerável devido aos protocolos que ela utiliza para transferir dados em altíssimas velocidades, como acesso direto à memória do computador.
Uma falha conhecida como Thunderclap foi revelada no ano passado e a recomendação era desabilitar o Thunderbolt, transformando a porta em um mera entrada USB. Porém, o novo método consegue explorar as vulnerabilidades mesmo assim.
A Intel lançou uma correção para o Thunderclap ao criar a Proteção de acesso direto à memória do kernel (Kernel DMA). Em um comunicado, a empresa cita essa correção e diz que os principais sistemas operacionais implementaram uma proteção de acesso direto à memória – Windows 10 a partir da versão 1803 (RS4), Linux a partir da versão 5.x e macOS a partir da versão 10.12.4. Porém, esse patch só se tornou disponível para computadores fabricados após 2019.
Ruytenberg disponibilizou uma ferramenta (para Windows e Linux) em seu site que permite checar se o seu computador estaria vulnerável ao ataque Thunderspy e se é possível ativar essa proteção de acesso direto à memória do kernel em sua máquina.