2506974

Thunderbolt-Sicherheitslücke Thunderspy: So schützen Sie Ihren Mac

12.05.2020 | 08:40 Uhr |

Eine Reihe von Sicherheitslücken in Thunderbolt 2 und 3, die zusammen als "Tunderspy" bezeichnet werden, können Ihren Mac für Hackerangriffe offen lassen. So schützen Sie sich.

Der Sicherheitsforscher Björn Ruytenberg von der Technischen Universität Eindhoven hat kürzlich einen Bericht veröffentlicht , in dem eine Reihe schwerwiegender Sicherheitslücken in Thunderbolt 2 und Thunderbolt 3, die zusammen als "Thunderspy" bezeichnet werden, detailliert beschrieben werden. Sie betreffen jeden einzelnen Computer mit einem Thunderbolt-2- oder Thunderbolt-3-Port, einschließlich der Port-Anschlüsse alten Typs und der neuen Typ-C-Anschlüsse, unabhängig davon, ob die Computer unter Windows, Linux oder macOS laufen.

Wie schlimm wirkt sich diese Sicherheitslücke auf Mac-Benutzer aus? Sollten Sie Panik davor haben, dass sich jemand in Ihr Macbook einhackt, wenn Sie das nächste Mal von Ihrem Schreibtisch aufstehen, um Kaffee nachzufüllen?

Sieben Thunderspy-Schwachstellen

Ruytenberg beschreibt in seinem Beitrag sieben Schwachstellen. Sie lauten wie folgt.

  1.     Unzureichende Firmware-Verifikationsschemata

  2.     Schwaches Geräte-Authentifizierungsschema

  3.     Verwendung von nicht authentifizierten Geräte-Metadaten

  4.     Abwärtskompatibilität

  5.     Verwendung von nicht authentifizierten Controller-Konfigurationen

  6.     Unzulänglichkeiten der SPI-Flash-Schnittstelle

  7.     Keine Thunderbolt-Sicherheit in Boot Camp

Es würde den Rahmen dieses Artikels sprengen, genau darauf einzugehen, was die einzelnen Punkte bedeuten und wie sie ausgenutzt werden können, um Systeme mit Thunderbolt-Ports zu attackieren.

Sie sollten aber wissen: Macs sind nur anfällig für die Schwachstellen 2 und 3, wenn sie macOS ausführen, und selbst dann nur teilweise. Wenn Sie Windows oder Linux mit Boot Camp auf Ihrem Mac ausführen, sind Sie für alle diese Schwachstellen anfällig.

Wo und wann Sie von Hacks bedroht sind

Die gute Nachricht ist, dass es für einen Hacker nicht unbedingt einfach wäre, mit diesen Exploits in Ihren Mac einzubrechen. Sie müssen physischen Zugang zu Ihrem Computer und ein vorbereitetes Thunderbolt-Hacking-Gerät haben.

Diese Art von Schwachstellen werden oft als "Evil Maid"-Bedrohungen bezeichnet. Sie setzen voraus, dass der Angreifer mindestens einige Minuten lang ungehinderten und unentdeckten Zugang zu Ihrem Computer hat. Es ist sehr unwahrscheinlich, dass jemand in der Lage wäre, diese Sicherheitslücken auszunutzen, wenn Sie den Deckel Ihres Macbooks schließen und sich in einem Café für eine Minute davon entfernen würden. Die schlimmste dieser Schwachstellen tritt noch auf, wenn sich Ihr Mac im Ruhezustand befindet, aber nicht, wenn er ausgeschaltet ist.

Intel hat eine Erklärung zu diesen Bedrohunge n herausgegeben:

Im Jahr 2019 implementierten die wichtigsten Betriebssysteme einen DMA-Schutz (Kernel Direct Memory Access), um Angriffe wie diese abzuschwächen. Dazu gehören Windows (Windows 10 1803 RS4 und höher), Linux (Kernel 5.x und höher) und MacOS (MacOS 10.12.4 und höher). Die Forscher konnten keine erfolgreichen DMA-Angriffe gegen Systeme nachweisen, bei denen diese Abschwächungen möglich waren. Bitte erkundigen Sie sich bei Ihrem Systemhersteller, ob Ihr System diese Abschwächungen eingebaut hat. Für alle Systeme empfehlen wir die Befolgung von Standard-Sicherheitspraktiken, einschließlich der Verwendung nur vertrauenswürdiger Peripheriegeräte und der Verhinderung unbefugten physischen Zugriffs auf Computer.

Die eigentliche Sorge gilt hier Nutzern von Boot Camp. Wenn Sie Windows via Boot Camp starten, stellt Apple den Thunderbolt-Controller auf die Sicherheitsstufe "keine" (SL0), was bedeutet, dass ein Hacker mit Zugriff auf Ihren Computer, auf dem Boot Camp läuft, leicht auf den Inhalt des RAM oder Ihrer Festplatte zugreifen und den Sperrbildschirm umgehen könnte.

Wenn Sie nur macOS ausführen, stellen Sie sicher, dass Sie mindestens auf macOS 10.12.4 aktualisiert haben. Wenn Sie das getan haben, sind die praktischen Gefahren der Thunderspy-Schwachstelle ziemlich gering.  Wenn Ihre Version von macOS älter ist, könnte ein Hacker mit physischem Zugriff auf Ihren Thunderbolt-Port möglicherweise den Inhalt von RAM oder Speicher kopieren.

Sogar mit einem vollständig aktuellen macOS könnte ein Hacker ein Thunderbolt-Gerät herstellen, das die legitime Sicherheits-ID eines offiziell unterstützten Geräts kopiert, und es dann dazu verwenden, einige portbasierte Angriffe auszuführen, ähnlich dem, was Hacker an USB-Ports tun können. Diese sind im Vergleich zum direkten Zugriff auf den Inhalt Ihres RAM oder Speichers eher langsam und in ihrem Umfang begrenzt.

So schützen Sie sich

Ruytenberg hat eine Reihe von Dingen vorgeschlagen, die Mac-Benutzer tun können, um sich zu schützen:

  •     Schließen Sie nur Ihre eigenen Thunderbolt-Peripheriegeräte an. Verleihen Sie diese niemals an irgendjemanden.

  •     Vermeiden Sie es, Ihr System unbeaufsichtigt zu lassen, während es eingeschaltet ist, auch wenn der Bildschirm gesperrt ist.

  •     Vermeiden Sie es, Ihre Thunderbolt-Peripheriegeräte unbeaufsichtigt zu lassen.

  •     Sorgen Sie für angemessene physische Sicherheit bei der Aufbewahrung Ihres Systems und aller Thunderbolt-Vorrichtungen, einschließlich Thunderbolt-betriebener Bildschirme.

  •     Erwägen Sie die Verwendung des Ruhezustands (Suspend-to-Disk) oder das vollständige Ausschalten des Systems. Vermeiden Sie insbesondere die Verwendung des Ruhemodus (Suspend-to-RAM).

Wenn Sie Boot Camp verwenden, um Windows oder Linux auf Ihrem Mac auszuführen, stellen Sie sicher, dass dieser immer ausgeschaltet ist, wenn er unbeaufsichtigt ist. Wenn Sie nur macOS verwenden, stellen Sie sicher, dass Sie auf die neueste Version von macOS aktualisiert haben, und treffen Sie die gleichen Vorsichtsmaßnahmen für Thunderbolt-Geräte wie für USB-Geräte. Wenn Sie nicht wissen, wer ein Thunderbolt-Gerät zuvor hatte, schließen Sie es nicht an Ihren Mac an, und lassen Sie Ihren Mac nicht eingeschaltet (selbst wenn er gesperrt ist) und unbeaufsichtigt, wenn andere Personen darauf zugreifen können.

Sollten Sie sich Sorgen machen?

Die meisten Mac-Benutzer sollten sich über diese spezielle Sicherheitslücke keine allzu großen Sorgen machen. Wenn Ihre macOS-Installation nicht völlig veraltet ist und Sie eine gute physische Sicherheit praktizieren (lassen Sie Ihren Mac nicht eingeschaltet und unbeaufsichtigt, schließen Sie keine Geräte an, wenn Sie nicht wissen, wo sie sich befanden), haben Sie von dieser Angriffsmöglichkeit nicht viel zu befürchten. Angriffe aus der Ferne, die Wi-Fi oder Bluetooth verwenden oder versuchen, Ihren Computer mit über das Internet heruntergeladener Software zu infizieren, sind weitaus häufiger als solche Angriffe, die physischen Zugang zu Ihrem Computer erfordern.

Benutzer, die Boot Camp betreiben, insbesondere an öffentlichen Orten, sollten besonders vorsichtig sein. Wenn Sie Windows oder Linux über Boot Camp ausführen, ist der Thunderbolt-Port auf einem Mac mehr oder weniger weit offen. Wir können wahrscheinlich davon ausgehen, dass Apple in naher Zukunft ein Software-Update herausgeben wird, um Boot Camp sicherer zu machen. Wenn Sie Boot Camp verwenden müssen, sollten Sie Ihren Mac immer vollständig herunterfahren, wenn Sie ihn unbeaufsichtigt lassen.

Macwelt Marktplatz

2506974