L’interfaccia Thuderbolt è veloce (e batte anche il nuovo standard Usb 3.2 2x2), ma soffrirebbe di alcune serie vulnerabilità di sicurezza. Lo sostiene un gruppo di ricercatori dell’Università di Cambridge, della Rice University e della non-profit Sri International. Secondo gli esperti, l’interfaccia creata da Intel in collaborazione con Apple potrebbe consentire agli hacker di eseguire codice arbitrario con privilegi massimi e di accedere alla memoria dei dispositivi. L’insieme di bug, battezzato Thunderclap, riguarda il modo in cui le periferiche basate su Thunderbolt accedono e interagiscono con i più diffusi sistemi operativi: Windows, macOs, Linux e Freebsd. Svelata durante il Ndss Symposium di San Diego, la falla impatta per esempio tutti i laptop e i computer desktop prodotti da Apple dal 2011 in poi, con l’eccezione dei Macbook da 12 pollici.
Discorso analogo per i device dotati di Windows e Linux lanciati sul mercato a partire dal 2016. Ovviamente, i bug riguardano esclusivamente le soluzioni che supportano l’interfaccia Thunderbolt. Il problema principale, sottolineano i ricercatori, è l’estrema “fiducia” che i sistemi operativi ripongono nelle periferiche connesse al computer, dando loro la possibilità di accedere direttamente alla memoria interna per operazioni di lettura e scrittura (un processo noto come Direct Memory Access, Dma).
In questo modo le prestazioni migliorano notevolmente, a scapito della sicurezza. Per cercare di limitare i possibili danni derivanti da un utilizzo improprio dell’accesso diretto, però, i produttori hanno previsto delle soluzioni, come le unità Iommu, che riducono le zone di memoria della Cpu a cui i dispositivi esterni possono accedere. Ma, a quanto pare, queste barriere aggiuntive possono non essere sufficienti per impedire ai malintenzionati di leggere dati sensibili.
Thunderclap permette infatti agli hacker di costruire delle periferiche maligne che, una volta connesse tramite Thunderbolt, funzionano all’apparenza in modo normale ma eseguono anche del codice malevolo di nascosto. Le stringhe riescono a bypassare le funzionalità Iommu perché i sistemi operativi (pur con la protezione attiva) lasciano comunque dei dati dell’utente nello stesso spazio di memoria dove il device esterno esegue il proprio codice dannoso. La periferica è così in grado di estrarre le informazioni.
Gli esperti sostengono che le vulnerabilità siano state scoperte già nel 2016 e di aver lavorato da allora con produttori hardware e sviluppatori di sistemi operativi per risolvere il problema. Il problema è che le software house avrebbero reagito molto lentamente. Microsoft, per esempio, ha abilitato il supporto a Iommu per Thunderbolt con Windows 10 versione 1803, rilasciato l’anno scorso.
Ma le macchine che necessitano di aggiornamento hardware devono prima ricevere un update del firmware dai produttori. Per quanto riguarda Apple, invece, i bug sono stati affrontati a partire da macOs 10.12.4 ma, scrivono i ricercatori, “l’ambito generale del nostro lavoro è ancora valido: in particolare i dispositivi Thunderbolt accedono a tutto il traffico di rete e, a volte, anche ai tasti premuti e ai dati contenuti nel framebuffer della Ram”.
L’unico consiglio valido è quindi quello di non collegare al computer via Thunderbolt i device esterni di origine sconosciuta. Oppure, come extrema ratio, disabilitare queste porte direttamente dal Bios/Uefi. Il lavoro scientifico completo è disponibile a questo link, mentre su Github è stato pubblicato il codice proof-of-concept che permette di creare periferiche Thunderclap.