Hackers podem usar porta Thunderbolt para invadir computadores e roubar dados

Por Felipe Demartini | 11 de Maio de 2020 às 10h36
Tudo sobre

Intel

Saiba tudo sobre Intel

Ver mais

Um pesquisador de segurança da Universidade de Tecnologia de Eindhoven, nos Países Baixos, revelou nesta semana um ataque que utiliza a porta Thunderbolt de um computador para ultrapassar qualquer tipo de login e criptografia, dando a um hacker acesso aos dados e à operação do dispositivo em si. De acordo com o especialista Björn Ruytenberg, qualquer máquina fabricada antes de 2019 está vulnerável à tentativa, que tem como principal alvo os executivos, jornalistas, personalidades e demais pessoas de interesse.

Batizada de Thunderspy, a exploração não deixa vestígios e pode ser praticada em poucos minutos, bastando que o atacante consiga passar algum tempo sozinho com o computador em questão. É um processo que, de acordo com Ruytenberg, envolveria a desmontagem do PC e a reprogramação do firmware, algo que, em mãos habilidosas, não levaria mais do que cinco minutos. Dependendo do alvo e do motivo da intrusão, mais do que vale a pena.

A falha será demonstrada pelo especialista em detalhes na próxima edição da conferência BlackHat, que deve acontecer em agosto, e, segundo ele, só pode ser solucionada com a desativação completa da porta Thunderbolt. O problema, de acordo com Ruytenberg, é a forma como a tecnologia garante mais velocidade e confiabilidade na transferência de dados, acessando diretamente a memória RAM da máquina. Essa característica, inclusive, já foi motivo de outras brechas semelhantes descobertas no passado. A diferença é que, desta vez, comenta o especialista, não há patch fácil via software para resolver a questão.

A nova exploração seria capaz até mesmo de ultrapassar a mais recente medida de segurança aplicada à tecnologia, que passou a usar níveis de segurança de acordo com o estado do computador e a necessidade de proteção do usuário, impedindo a conexão de dispositivos não-autorizados, por exemplo. A alteração no firmware da brecha, entretanto, desabilita o recurso e permite acesso indiscriminado, desde que o atacante tenha contato direto com a máquina pelo tempo necessário para abri-la e rodar a exploração, que leva cerca de dois minutos para agir a partir de um chip conectado diretamente à controladora da entrada Thunderbolt.

Na sequência, um segundo dispositivo, também customizado, é ligado à porta em si e completa o ataque, ultrapassando telas de login e até mesmo criptografias de disco rígido. Ruytenberg disse ter gasto cerca de US$ 400 em equipamentos disponíveis facilmente no mercado para operar a exploração e argumenta que o tamanho, bem como a necessidade de dois dispositivos, poderiam ser facilmente reduzidos para apenas um se “agências de segurança bem financiadas” assim quiserem.

Uma segunda versão do ataque, também a ser demonstrada na BlackHat, é ainda menos invasiva, mas também requer o uso de um dispositivo que já tenha sido marcado como confiável pelo sistema. Neste caso, segundo o pesquisador, bastaria copiar tais códigos para um novo aparelho, a partir de um segundo computador, e não seria preciso desmontar a máquina-alvo para realizar a operação.

Ruytenberg enxerga a utilização da brecha em ataques direcionados, com um método comumente chamado de “evil maid”, em referência a computadores que ficam em quartos de hotel e passam o dia desatendidos, à disposição de “camareiras malvadas”. O mesmo também valeria, por exemplo, para as próprias empresas, durante reuniões, cafés ou qualquer outro lugar em que uma máquina possa ser utilizada por atacantes durante um período de tempo.

O especialista aponta, ainda, que a única solução plena para esse tipo de ataque é o redesenho do chip Thunderbolt em si, já que qualquer tipo de alteração de software pode ser desabilitada. Foi o que aconteceu a partir de 2019, por exemplo, com a maioria dos fabricantes de PC alterando o funcionamento das portas e impedindo que a exploração recente funcione. Ainda assim, há uma grande quantidade de máquinas vulneráveis por aí, o que vai exigir atenção da parte dos responsáveis.

As respostas das fabricantes variam, como mostrou reportagem da Wired. A Intel, responsável pela tecnologia, indicou as novas medidas de segurança como a solução do problema e afirmou que boa parte de suas parcerias já a aplicaram ao longo dos últimos dois anos. A HP reafirmou isso, e disse ter implementado ainda mais proteções, enquanto a Dell indicou que seus clientes evitem a conexão de dispositivos inseguros à porta Thunderbolt. A Lenovo disse estar avaliando a questão, enquanto a Samsung não respondeu sobre o assunto.

Atualização 12/05/2020, 11h24: Em novo comunicado sobre o assunto, a Intel afirmou que o ataque demonstrado por Ruytenberg não pode ser aplicado em sistemas que tenham a proteção Kernel DMA habilitada, um recurso que está presentes nos dispositivos mais recentes. Além disso, a empresa pediu aos usuários que sigam as melhores práticas de segurança, o que inclui evitar o acesso físico não-autorizado, por terceiros, a seus computadores.

Fonte: Wired

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.