El investigador de seguridad Björn Ruytenberg, de la Universidad Tecnológica de Eindhoven, publicó recientemente un informe que detalla una serie de vulnerabilidades de seguridad graves en Thunderbolt 2 y Thunderbolt 3, en conjunto denominadas «Thunderspy».
Afectan a todas las computadoras con un puerto Thunderbolt 2 o Thunderbolt 3, incluidos los conectores de puerto antiguos y los nuevos conectores tipo C, independientemente de si las computadoras ejecutan Windows, Linux o macOS.
¿Qué impacto tiene esta falla de seguridad en los usuarios de Mac? ¿Deberías asustar a alguien que está pirateando tu MacBook la próxima vez que te levantes de tu escritorio para rellenar tu café?
Siete vulnerabilidades de Thunderspy
Ruytenberg describe siete vulnerabilidades en su documento. Son los siguientes.
-
Esquemas de verificación de firmware inadecuados.
-
Esquema de autenticación de dispositivo débil.
-
Uso de metadatos de dispositivos no autenticados.
-
Compatibilidad con versiones anteriores.
-
Uso de configuraciones de controlador no autenticadas.
-
Falta de interfaz flash SPI.
-
No hay seguridad contra rayos en Boot Camp.
Está más allá del alcance de este artículo entrar exactamente en el significado de cada uno de estos y cómo pueden ser explotados para violar los sistemas con puertos Thunderbolt.
Solo sepa esto: las Mac son sensibles a las vulnerabilidades 2 y 3 solo cuando ejecutan macOS, e incluso solo parcialmente. Ejecutar Windows o Linux en la Mac a través de Boot Camp te hace vulnerable a todos.
¿Cómo puedes ser hackeado?
La buena noticia es que no necesariamente sería fácil para un hacker acceder a su Mac con estos exploits. Deben tener acceso físico a su computadora y un dispositivo de piratería Thunderbolt preparado.
Estos tipos de vulnerabilidades a menudo se denominan amenazas «malvadas». Requieren que el atacante tenga acceso sin obstáculos y sin detectar a la computadora durante al menos unos minutos. Es muy poco probable que alguien pueda aprovechar estas vulnerabilidades si cierra la tapa de su MacBook y se aleja por un minuto en un bar.
La peor de estas vulnerabilidades puede ocurrir mientras la Mac está en modo de suspensión, pero no mientras está apagada.
Intel ha publicado una declaración sobre estas amenazas.
En 2019, los principales sistemas operativos implementaron la protección KMA Direct Memory Access (DMA) para mitigar ataques como estos. Esto incluye Windows (Windows 10 1803 RS4 y posterior), Linux (kernel 5.xy posterior) y MacOS (MacOS 10.12.4 y posterior). Los investigadores no han demostrado con éxito los ataques DMA contra sistemas con estas mitigaciones habilitadas. Consulte con el fabricante del sistema para determinar si estas mitigaciones están integradas en su sistema. Para todos los sistemas, se recomienda seguir las prácticas de seguridad estándar, incluido el uso de dispositivos confiables y la prevención del acceso físico no autorizado a las computadoras.
La verdadera preocupación aquí es para los usuarios de Boot Camp. Cuando está en Boot Camp, Apple tiene el controlador Thunderbolt configurado en el nivel de seguridad «none» (SL0), lo que significa que un hacker con acceso a su computadora que ejecuta Boot Camp podría acceder fácilmente al contenido de RAM o disco duro , ignorando la pantalla de bloqueo.
Para aquellos que ejecutan macOS, asegúrese de haber actualizado al menos macOS 10.12.4. Si es así, los peligros prácticos de la vulnerabilidad de Thunderspy son bastante limitados. Si su versión de macOS es anterior, un hacker con acceso físico a su puerto Thunderbolt podría potencialmente copiar RAM o contenido de almacenamiento.
Incluso con un macOS completamente actualizado, un pirata informático podría crear un dispositivo Thunderbolt que copie la identificación de seguridad legítima de un dispositivo oficialmente compatible y luego usarlo para realizar algunos ataques basados en puertos similares a lo que los piratas informáticos pueden hacer en los puertos USB. Esos tienden a ser lentos y de alcance limitado en comparación con el acceso directo a los contenidos de RAM o espacio de almacenamiento.
Que se supone que debes hacer
Ruytenberg ha sugerido varias cosas que los usuarios de Mac pueden hacer para protegerse:
-
Conecte solo sus periféricos Thunderbolt. Nunca se los prestes a nadie.
-
Evite dejar el sistema desatendido mientras está encendido, incluso cuando la pantalla está bloqueada.
-
Evite dejar sus periféricos Thunderbolt desatendidos.
-
Garantice la seguridad física adecuada al almacenar el sistema y todos los dispositivos Thunderbolt, incluidas las pantallas con tecnología Thunderbolt.
-
Considere utilizar la hibernación (suspender en el disco) o completar el apagado del sistema. En particular, evite usar el modo Suspender a RAM.
Si usa Boot Camp para ejecutar Windows o Linux en su Mac, asegúrese de que esté apagado cuando esté desatendido. Si solo está ejecutando macOS, asegúrese de haber actualizado la última versión de macOS y tome las mismas precauciones en los dispositivos Thunderbolt que debería en los dispositivos USB. Si no sabe dónde ha estado un dispositivo Thunderbolt, no lo conecte a su Mac y no deje su Mac encendida (incluso si está bloqueada) y desatendida donde la gente pueda acceder a ella.
¿Deberías estar preocupado?
La mayoría de los usuarios de Mac no deberían estar terriblemente preocupados por esta vulnerabilidad de seguridad en particular. Si la instalación de macOS no es obsoleta y está practicando una buena seguridad física (no deje su Mac encendida y desatendida, no conecte los dispositivos si no sabe dónde han estado) no tiene mucho que temer de este ataque. Los ataques remotos que usan Wi-Fi o Bluetooth o intentan infectar su computadora con software descargado de Internet son importantemente más común que los ataques como estos que requieren acceso físico a su computadora.
Los usuarios que administran Boot Camp, especialmente en lugares públicos, deben prestar especial atención. Al ejecutar Windows o Linux a través de Boot Camp, el puerto Thunderbolt en una Mac está más o menos abierto. Probablemente podamos esperar que Apple lance una actualización de software para hacer que Boot Camp sea más seguro en el futuro cercano. Si necesita usar Boot Camp, debe apagar completamente su Mac cada vez que la deje desatendida.