Foi revelada neste domingo uma falha de segurança que afeta a interface de comunicação física Thunderbolt e que permite roubar dados do computador da vítima “em menos de cinco minutos”, de acordo com Björn Ruytenberg. O investigador holandês descobriu uma forma de contornar todos os sistemas de proteção existentes na tecnologia de transferência de dados desenvolvida pela Intel. A vulnerabilidade foi batizada de Thunderspy.
Para que o ataque e o roubo de dados sejam bem sucedidos, o atacante tem de ter acesso físico ao computador da vítima, algo que no mundo da segurança informática é conhecido como ataques evil maid (camareira maliciosa, em tradução livre). No caso do Thunderspy, é necessário retirar o chassis da base do computador para ter acesso ao controlador físico da porta Thunderbolt. Aí, usando componentes que são de compra fácil e cujo investimento não ultrapassa os 400 euros, é possível reconfigurar o firmware do chip da ligação Thunderbolt para ‘desligar’ todos os mecanismos de proteção que tem associados.
Depois basta voltar a colocar a tampa na base do computador e introduzir um periférico àquela porta Thunderbolt para iniciar a exfiltração de dados. E eis que tudo se complica ainda mais: a técnica descoberta por Björn Ruytenberg permite contornar o facto de o computador poder estar em modo suspenso, bloqueado com password e até a própria encriptação dos discos de armazenamento, segundo explica a notícia avançada pela publicação Wired. “Tudo isto pode ser feito em menos de cinco minutos”, adiantou o investigador associado à Universidade de Tecnologia de Eindhoven, nos Países Baixos. E este é um ataque que não deixa qualquer vestígio, o que dificulta a vítima saber que foi alvo de um roubo.
A Intel já tem um mecanismo, denominado Kernel Direct Memory Access Protection, que impede que estes ataques sejam bem-sucedidos. O problema é que esta tecnologia só começou a ser implementada em computadores lançados de 2019 em diante, o que significa que todos os outros lançados anteriormente estão vulneráveis. Mesmo algumas máquinas lançadas pelos principais fabricantes de computadores em 2019 não têm o sistema implementado. Já os computadores com MacOS não são afetados pelo Thunderspy.
De acordo com o autor da descoberta, não existe forma de corrigir a vulnerabilidade em computadores que estão afetados – e pode saber se o seu faz parte da lista através da ferramenta Spycheck disponibilizada neste site. Existem duas alternativas para mitigar possíveis roubos de informação: desativar por completo a porta Thunderbolt, através das definições do sistema operativo; ou permitir que apenas periféricos Thunderbolt confiados pelo utilizador possam estabelecer ligação através daquela porta de comunicação.
Esta vulnerabilidade pode tornar-se particularmente popular em campanhas de espionagem, já que Björn Ruytenberg também considera que “agências de três letras não teriam problema em miniaturizar” o equipamento necessário para tirar partido da Thunderspy.
Os resultados da investigação já foram partilhados com a Intel há três meses e o holandês pretende detalhar mais sobre as suas descobertas numa apresentação na conferência de segurança informática DEFCON, que se realiza no início de agosto. “Apesar de a vulnerabilidade subjacente não ser nova, os investigadores demonstraram novos vetores de ataque físico usando um dispositivo periférico costumizado”, comentou a Intel, empresa responsável pela interface Thunderbolt, sobre a vulnerabilidade Thunderspy.
