Veel moderne laptops en een toenemend aantal desktopcomputers zijn veel kwetsbaarder voor hacking via gewone plug-in-apparaten dan eerder werd gedacht, volgens nieuw onderzoek.

Het onderzoek, wordt vandaag gepresenteerd op het Network and Distributed Systems Security Symposium in San Diego, toont aan dat aanvallers binnen enkele seconden een onbeheerde machine kunnen binnendringen via apparaten zoals opladers en dockingstations.

Er zijn kwetsbaarheden gevonden in computers met Thunderbolt-poorten met Windows, macOS, Linux en FreeBSD. Veel moderne laptops en een toenemend aantal desktops zijn hier vatbaar voor.

De onderzoekers, van de Universiteit van Cambridge en Rice University, de kwetsbaarheden blootgelegd via Thunderclap, een open-sourceplatform dat ze hebben gecreëerd om de beveiliging van computerrandapparatuur en hun interactie met besturingssystemen te bestuderen. Het kan op computers worden aangesloten met behulp van een USB-C-poort die de Thunderbolt-interface ondersteunt en waarmee de onderzoekers technieken kunnen onderzoeken die beschikbaar zijn voor aanvallers. Ze ontdekten dat potentiële aanvallen de volledige controle over de doelcomputer konden overnemen.

De onderzoekers, geleid door Dr. Theodore Markettos van Cambridge's Department of Computer Science and Technology, zeggen dat naast plug-in apparaten zoals netwerk- en grafische kaarten, aanvallen kunnen ook worden uitgevoerd door ogenschijnlijk onschuldige randapparatuur zoals opladers en projectoren die video correct opladen of projecteren, maar tegelijkertijd de hostmachine in gevaar brengen.

Computerrandapparatuur zoals netwerkkaarten en grafische verwerkingseenheden hebben directe geheugentoegang (DMA), waardoor ze het beveiligingsbeleid van het besturingssysteem kunnen omzeilen. DMA-aanvallen die misbruik maken van deze toegang zijn op grote schaal gebruikt om controle te krijgen over en gevoelige gegevens te extraheren van doelmachines.

Huidige systemen zijn voorzien van input-output memory management units (IOMMU's) die kunnen beschermen tegen DMA-aanvallen door geheugentoegang te beperken tot randapparatuur die legitieme functies uitvoert en alleen toegang toe te staan ​​tot niet-gevoelige geheugengebieden. Echter, IOMMU-beveiliging wordt in veel systemen vaak uitgeschakeld en het nieuwe onderzoek toont aan dat, zelfs wanneer de beveiliging is ingeschakeld, het kan worden aangetast.

"We hebben aangetoond dat het huidige IOMMU-gebruik geen volledige bescherming biedt en dat geavanceerde aanvallers nog steeds het potentieel hebben om ernstige schade aan te richten. " zei Brett Gutstein, een Gates Cambridge-geleerde, wie behoort tot het onderzoeksteam.

De kwetsbaarheden zijn in 2016 ontdekt en de onderzoekers hebben samengewerkt met technologiebedrijven als Apple, Intel en Microsoft om de beveiligingsrisico's aan te pakken. Bedrijven zijn begonnen met het implementeren van fixes die een aantal van de kwetsbaarheden aanpakken die de onderzoekers hebben ontdekt; verschillende leveranciers hebben de afgelopen twee jaar beveiligingsupdates uitgebracht.

Echter, het Cambridge-onderzoek laat zien dat het oplossen van het algemene probleem ongrijpbaar blijft en dat recente ontwikkelingen, zoals de opkomst van hardware-interconnects zoals Thunderbolt 3 die stroominvoer combineren, video-uitgang en randapparaat DMA via dezelfde poort, hebben de dreiging van kwaadaardige apparaten aanzienlijk vergroot, laadstations en projectoren die de besturing van aangesloten machines overnemen. De onderzoekers willen dat technologiebedrijven verdere actie ondernemen, maar benadrukken ook de noodzaak voor individuen om zich bewust te zijn van de risico's.

"Het is essentieel dat gebruikers beveiligingsupdates van Apple installeren, Microsoft en anderen moeten worden beschermd tegen de specifieke kwetsbaarheden die we hebben gemeld, "zei Markettos. "Echter, platforms blijven onvoldoende beschermd tegen kwaadaardige randapparatuur via Thunderbolt en gebruikers mogen geen apparaten aansluiten waarvan ze de oorsprong niet kennen of die ze niet vertrouwen."