Thunderspy — Thunderbolt 3嘅DMA漏洞係咪咁驚天動地？

短答：傻的嗎；長答：又錯唔哂，只不過係老調重彈

Thunderspy用咗另一個角度去演繹大家可能遺忘咗嘅常識 — 部電腦俾壞人掂到其實就已經GG。

背景

最近好多電腦新聞網站都有講Thunderspy，講到Thunderbolt 3好似有個驚天大漏洞噉樣，同時以下呢條片都被廣傳 — 當中示範咗點樣利用報告中既漏洞#5，用幾分鐘就繞過咗Windows Lock Screen。嘩嘩嘩個畫面真係好靚…今次死梗冇得避喇！

而然，據Thunderspy網站所講，Intel和Apple都「岸郊野吾賞鯉」mode，即使收到作者安全事故匯報但連CVE number都懶得assign，點解？係唔係大公司側側膊想大事化小，小事化無？？

個漏洞係乜？

份研究報告一共提及7個漏洞，但可以分成三大問題：

漏洞#1–#4: 壞人可以通過拆開受害者使用過嘅TB3外接裝置，複製其ID或連線時用嘅握手加密金鑰(challenge-response key)到特製嘅TB3攻擊裝置，從而將之接駁受害者電腦時，裝置會即時生效*並可進行DMA攻擊。

漏洞#5: 壞人可以通過拆開受害者嘅電腦，將TB晶片上保安設定關閉。然後喺接駁攻擊者特製嘅TB3攻擊裝置到受害者電腦時，裝置會即時生效*並可進行DMA攻擊。(亦即係影片所示範嘅例子)

漏洞#6–#7: MacOS bootcamp到Windows/Linux時default TB的設定是不安全的。

漏洞可以令電腦變成無掩雞籠，DMA攻擊將Memory任睇任砌

利用#1–#5嘅漏洞，若然OS冇打開任何其他保安設定*，壞人嘅裝置就可以通過PCIe bus和DMA機制，直接讀寫電腦所有memory，直接改動kernel任何資料。噉當然跳過lock screen、偷哂encryption key等亦都易如反掌。

PCIe係一條好接近hardware level嘅bus，基本上*插喺上面嘅裝置所接觸到嘅physical address space就等同整個系統嘅physical address space，即係可以直接存取到所有memory，或者所有其他PCIe嘅咭，乜都得。