Ruim een jaar geleden kwam een eerste grote hack voor Thunderbolt naar buiten, die de naam Thunderclap meekreeg. Een onderzoeker in Eindhoven heeft daarop voortgeborduurd, en het resultaat is te lezen in deze paper en heeft geleid tot de tool Thunderspy.

In de video hieronder kan je zien dat het mogelijk is om binnen vijf minuten een Windows-laptop met Thunderbolt en in slaapstand binnen te komen, waarbij ook de wachtwoord-beveiliging van Windows omzeild wordt. Bij voorbaat wel meteen een slag om de arm: de aanvaller kan dit dus alleen doen als hij de computer die aangevallen wordt fysiek in handen heeft, en die zal zelfs opengemaakt moeten worden. Daarbij zal die niet alleen over de kennis, maar ook over de benodigde hardware moeten beschikken.


Met andere woorden, het gaat hier om een hack die voor verreweg de meesten van ons niet erg bedreigend zal zijn, maar als je bijvoorbeeld bedrijfsgeheimen op je Mac hebt staan is het wel iets om even stil bij te staan. En een goede reden om die nooit onbeheerd in de slaapstand te laten staan, maar dan altijd uit te zetten.

De andere kant is dat als een kwaadwillende fysieke toegang heeft tot jouw computer in slaapstand je er nauwelijks wat tegen kan doen. Want ook als die met een wachtwoord beveiligd is en zelfs als je jouw data versleuteld hebt, met Thunderspy kan je er doorheen komen.

Mac vs. PC

Windows en Linux zijn de systemen die het kwetsbaarst zijn voor Thunderspy, voor macOS moet wat meer moeite gedaan worden. Voor zowel Windows als Linux bestaan dan ook apps waarmee je kan kijken of jouw systeem hierdoor gecompromitteerd is, die zijn ook te vinden op deze pagina. Voor macOS vind je de uitleg hoe je dat verifiëren hier, daar vind je ook wat je moet doen om dit probleem uit de weg te gaan.

Apple’s reactie op Thunderspy was de volgende:

Some of the hardware security features you outlined are only available when users run macOS. If users are concerned about any of the issues in your paper, we recommend that they use macOS.

In het kort lijkt het verstandig om nooit je Mac ergens in de slaap-stand laten waar een kwaadwillende de mogelijkheid en tijd zou hebben om je Mac open te maken en deze aanval uit te voeren. En op het moment dat je niet bij je Mac bent er in ieder geval nooit Thunderbolt-devices mee verbonden laten zijn.

Hieronder de tips van de makers van Thunderspy voor gebruikers van macOS:

If you intend to use Thunderbolt connectivity, we strongly recommend to:

• Connect only your own Thunderbolt peripherals. Never lend them to anybody.
• Avoid leaving your system unattended while powered on, even when screenlocked.
• Avoid leaving your Thunderbolt peripherals unattended.
• Ensure appropriate physical security when storing your system and any Thunderbolt devices, including Thunderbolt-powered displays.
• Consider using hibernation (Suspend-to-Disk) or powering off the system completely. Specifically, avoid using sleep mode (Suspend-to-RAM).

met dank aan forumlid ‘VwVanFan’, die dit nieuws als eerste meldde



 #Thunderbolt #macOS #Hack