Thunderbolt-lek treft iedere Mac die sinds 2011 is gemaakt

Door: Raymon Mens - 4 reacties
Mac Thunderbolt 3 glitch

Thunderbolt was en is zijn tijd ver vooruit. De aansluiting die Apple sinds 2011 als opvolger van Firewire op de Mac plaatste, is anno 2019 nog steeds sneller dan USB. Er blijkt echter ook een beveiligingslek in te zitten. Dat hebben onderzoekers van drie Amerikaanse universiteiten ontdekt.

De kwetsbaarheden maken toegang tot het systeemgeheugen via de Thunderbolt-poorten mogelijk. Dat is kwalijk, want in dit geheugen worden gegevens doorgaans onversleuteld verwerkt. Ook kan willekeurige code op een Mac of PC met Thunderbolt worden uitgevoerd.

Thunderclap treft Mac en PC met Thunderbolt

Het lek heeft de bijnaam Thunderclap gekregen en de onderzoekers omschrijven dat het op bijna alle apparaten met Thunderbolt werkt. Het maakt niet uit of dit Thunderbolt 1 via de mini-displayport is of Thunderbolt 3 op een recente iMac of MacBook dat via USB-C werkt. De enige Mac waarop het niet werkt is de 12-inch MacBook, omdat die alleen USB-C heeft.

Door een gemanipuleerd apparaat aan de sluiten op een Mac of PC kregen de onderzoekers directe toegang tot het geheugen. Daar konden ze gegevens uitlezen en willekeurige code uitvoeren. De beveiliging van macOS en Windows greep niet in. Dat is echter ook logisch, omdat Thunderbolt-apparaten om snel te werken Direct Memory Access (DMA) nodig hebben. De naam zegt het al. Ze kunnen het geheugen direct benaderen zonder tussenkomst van de processor. Dat is essentieel voor bijvoorbeeld een GPU.

Thunderbolt Mac
Klik/tap voor groter.

Fysieke toegang vereist

De impact van dit lek is voor de meeste consumenten laag, omdat een kwaadwillende fysieke toegang moet hebben tot de Mac of PC om dit te misbruiken. Er moet immers een gemanipuleerd apparaat aangesloten worden.

Apple zag dit blijkbaar ook al een tijdje aankomen en staat sinds macOS 10.12.4 geen directe geheugentoegang meer toe voor netwerkkaarten die via Thunderbolt aangesloten worden. Een kwaadaardig apparaat kan zich echter ook voordoen als een externe GPU en zo alsnog toegang krijgen. Er is wel beveiliging toegepast, maar die rammelt nog steeds.

Apple heeft ook getracht het systeemgeheugen af te schermen voor externe apparaten, maar slechts twee ‘pools’ gemaakt. Een voor interne en een voor externe apparaten. Daardoor kan nog steeds een boel data lekken en is het bijvoorbeeld perfect mogelijk om een keylogger te maken. macOS is door deze maatregelen wel beter beschermd dan Windows 7, Windows 10 en Linux, maar nog steeds kwetsbaar.

Reacties

4 reacties
  • Profielfoto
    Jako

    De MacBooks (2015, 2016 & 2017) hebben nergens last van hoor!

  • Profielfoto
    Jako

    Jako op 28 februari 2019 07:21
    De MacBooks (2015, 2016 & 2017) hebben nergens last van hoor!

    Beter lezen Jako, dat stond al in het artikel;-)

    Maar in de kop staat Ć©lke Mac, dus dat klopt niet…

  • Profielfoto
    farl4web

    Mijn MacBook Pro 15 inch heeft ook alleen USB-C, ben ik dan niet kwetsbaar. In het artikel staat dat alleen Macbook 12 inch niet kwetsbaar is…?

  • Profielfoto
    fixar

    farl4web op 28 februari 2019 12:37
    Mijn MacBook Pro 15 inch heeft ook alleen USB-C, ben ik dan niet kwetsbaar. In het artikel staat dat alleen Macbook 12 inch niet kwetsbaar isā€¦?

    Op Ā MacBook Pro 15″ modellen van NA 2015 zitten 4 poorten die lijken op (/zien er hetzelfde uit als) USB-C poorten maar het zijn wel degelijk Thunderbolt 3 aansluitingen. Dus, ja, ook jouw MBP15″ is kwetsbaar voor dit lek.