Actualización: Como señala 9to5Mac, que disecciona las explicaciones de Ruytenberg de forma algo más clara, macOS está afectado de forma parcial. Aparentemente el chip T2 no mejora la seguridad del sistema, sino la forma en la que Apple implementa la gestión de Thunderbolt en macOS, que es diferente al usar una lista de dispositivos aprobados en lugar de una asignación de niveles de seguridad. Según Ruytenberg, el sistema operativo de Apple sigue siendo susceptible a "ataques similares a BadUSB", engañando al sistema para hacerle creer que se está utilizando un accesorio Thunderbolt certificado por Apple en lugar de un dispositivo malicioso.
Noticia original: Hace un par de semanas Microsoft logró arquear algunas cejas cuando una presentación interna desveló que la gama Surface no incorpora conectores Thunderbolt para evitar posibles accesos no autorizados. Concretamente, un técnico de la compañía relataba que Thunderbolt ofrece acceso directo a la memoria del sistema, y como tal, no era un puerto en el que se pudiera confiar. Ahora hay más pruebas de ello.
Björn Ruytenberg, un investigador de la Universidad Técnica de Eindhoven, ha dado a conocer la existencia de varias vulnerabilidades en estas conexiones, explotables mediante un método de ataque bautizado como Thunderspy. Su sistema permite a un atacante con acceso físico saltarse las pantallas de acceso de un equipo Windows o Linux bloqueado y robar cualquier información presente en el disco duro, aunque este se encuentre cifrado.
Thunderspy utiliza lo que en el argot técnico se conoce como un ataque mediante "evil maid" o "camarera malvada", en referencia al servicio de habitaciones de un hotel. Una persona aprovecha que el huésped ha dejado abandonado su portátil para abrir su carcasa con un destornillador, conectarse al puerto desde el interior del equipo y acceder a sus contenidos en unos minutos. A continuación, el atacante podría utilizarlo con total normalidad o ejecutar scripts para obtener datos concretos de forma automatizada en unos instantes y dejar el equipo tal y como lo encontró lo más rápidamente posible.
Aunque el método evil maid puede sonar algo enrevesado, ha sido utilizado en estafas y es el motivo por el que gobiernos y empresas indiquen a su personal que nunca deben dejar sus ordenadores portátiles desatendidos cuando se encuentren en el extranjero.
Según relata Ruytenberg, las vulnerabilidades fueron comunicadas a Intel en el mes de febrero y a Apple en abril. Curiosamente, las vulnerabilidades están presentes en los equipos de la firma de la manzana, pero no son explotables bajo macOS (el investigador no detalla los motivos, pero el uso de chips de seguridad propietarios podría estar relacionado).
Resolver las vulnerabilidades por completo será complicado, puesto que están presentes en las tres versiones de Thunderbolt y parece que forman parte del propio diseño, por lo que solo se pueden mitigar mediante el uso de hardware adicional. En este sentido, Intel comenzó a introducir Kernel DMA Protection en equipos de 2019 y posteriores, pero no todos los ordenadores lanzados desde entonces incorporan esta tecnología. Además, Kernel DMA Protection no evita todas las vulnerabilidades descubiertas y puede provocar fallos de compatibilidad en algunos periféricos.
Ruytenberg ha publicado una herramienta que permite comprobar si un sistema está afectado por Thunderspy. En cualquier caso, las recomendaciones de seguridad básicas pasan por no dejar desatendido el ordenador, evitar los modos de hibernación y, si no se van a utilizar dispositivos Thunderbolt, desactivar el controlador desde la UEFI (Thunderbolt 3 dejará de funcionar, pero el conector USB-C seguirá proporcionando carga).
