O pesquisador Björn Ruytenberg identificou uma falha de segurança na interface Thunderbolt 3 (e versões anteriores), desenvolvida em parceria pela Intel e Apple , que torna milhões de PCs vulneráveis a ataques por hackers.
Batizada de “Thunderspy” a falha requer acesso físico a um computador ligado, e consiste em reprogramar o controlador Thunderbolt da máquina para desabilitar recursos de segurança que impedem o uso de dispositivos não autorizados. Com isso abre-se a porta para roubo de dados , mesmo que o HD de um computador esteja criptografado, por exemplo.
A falha pode ser explorada mesmo que a porta Thunderbolt esteja “desabilitada”, ou seja, permitindo o tráfego apenas de dados USB e de vídeo, e mesmo que o usuário siga as práticas recomendadas de segurança como o uso de Secure Boot e senhas fortes na BIOS e sistema operacional.
Leia tambem: Falha no Windows 10 quebra segurança de navegadores; saiba se proteger
O ataque não deixa “rastros” na máquina da vítima, que não terá a menor ideia do que aconteceu. Não é um ataque simples, mas segundo Ruytenberg é algo que poderia ser realizado por uma “camareira má”, adequadamente treinada.
Você viu?
Basicamente, consiste em abrir a tampa inferior do notebook para conseguir acesso à placa-mãe e ao chip que contém o firmware da controladora Thunderbolt. Um adaptador é conectado sobre este chip, o que permite conectá-lo a outro computador e copiar o firmware.
Um utilitário modifica o conteúdo do firmware, desativando os recursos de segurança , e o regrava no chip. Todo o processo não leva mais do que cinco minutos.
Leia também: Menina de oito anos encontra brecha no iOS e burla regra do YouTube Kids
Segundo Ruytenberg são necessários cerca de US$ 400 em hardware e alguns periféricos para realizar o ataque, mas o pesquisador afirma que é algo que “agências de três letras” (como as norte-americanas CIA, NSA e FBI, ou a FSB russa) não teriam problemas em miniaturizar. PCs com Windows e Linux são vulneráveis ao Thunderspy, mas Macs rodando o macOS não são.
Um recurso desenvolvido pela Intel chamado “Kernel DMA Protection” pode impedir um ataque como o Thunderspy, mas só está disponível em aparelhos produzidos e partir de 2019, e não em todos eles.
Segundo Ruytenberg, em contato com a Intel a empresa confirmou que “todas as versões do Thunderbolt são vulneráveis”, mas que além do Kernel DMA Protection “não irá fornecer nenhuma forma de mitigar as vulnerabilidades apontadas pelo Thunderspy”, nem “publicar alertas de segurança para informar ao público”.
Um artigo detalhamento o funcionamento do ataque e as vulnerabilidades envolvidas está disponível no site Thunderspy.io , criado por Ruytenberg. Lá, os usuários também podem baixar um utilitário chamado Spycheck que permite checar se uma máquina é ou não vulnerável ao problema.