Ein Forscherteam der Universität Cambridge hat eine Reihe von Schwachstellen
aufgedeckt, die es ermöglichen, über Thunderport-Anschlüsse den Arbeitsspeicher von Geräten zu lesen und auch zu schreiben.
Die Thunderclap-getauften Schwachstellen ermöglichen es einem Angreifer mit physischem Zugriff auf einen Thunderbolt-Anschluss, einen Zielcomputer in Sekundenschnelle zu kompromittieren, beliebigen Code auf der höchsten Berechtigungsebene auszuführen und möglicherweise Zugriff auf Passwörter, Bank-Logins, Verschlüsselungsschlüssel, private Dateien, Browsing und andere Daten zu erhalten. Angriffe, die diese Schwachstellen ausnutzen, können auch von scheinbar harmlosen Peripheriegeräten wie Ladegeräten und Projektoren durchgeführt werden, die zwar korrekt laden oder Videos projizieren, aber gleichzeitig den Host-Computer gefährden. Wie der Forscher Theo Markettos
erklärt, nutzt Thunderclap den privilegierten Direkt-Speicherzugriff (DMA), den Thunderbolt Zubehör erhält, um Zugang zum Zielgerät zu erhalten.
Thunderbolt-Ports sind auf vielen modernen Laptops vorhanden, und beim aktuellen Thunderbolt 3 Standard agieren die USB-C-Ports gleichzeitig als Thunderbolt-Anschlüsse. Aber auch wenn es sich um den gleichen Port handelt, sind technisch gesehen beide Protokolle sehr unterschiedlich. So gibt es bei USB keinen direkten Zugriff auf den Arbeitsspeicher über DMA, bei Thunderbolt allerdings schon. Die Thunderclap-Schwachstelle ist derweil nicht nur bei Thunderbolt 3 zu finden; ältere Thunderbolt Geräte, die auf Displayport anstelle von USB-C basieren, sind ebenfalls theoretisch gefährdet.
Markettos und sein Team entdeckten die Schwachstelle 2016 und haben sie bereits an Hersteller weitergegeben, die Fehlerbehebungen entwickelt haben: Apple hat noch im selben Jahr einen Fix für einen bestimmten Teil des Fehlers in MacOS 10.12.4 veröffentlicht, und die zuletzt aktualisierten Macs sollten vor dem Angriff geschützt sein. Windows 10 Version 1803 schützt ebenfalls vor der Schwachstelle auf Firmware-Ebene für neuere Geräte.
