近日由剑桥大学计算机科学与技术系、莱斯大学和斯坦福国际研究所的一组研究人员公布一个新漏洞Thunderclap，影响所有主要平台，包括MacOS和Windows，并允许黑客通过插入数据线来黑入PC，访问或窃取密码、银行登录凭证、加密密钥、私人文件、以及其它敏感数据等。

Thunderbolt是由英特尔发表的连接器标准，支援铜线与光纤两种介质，目的在于当作电脑与其他装置之间的通用总线。Thunderbolt连接技术融合了PCIExpress数据传输技术和DisplayPort显示技术，可以同时对数据和视频信号进行传输，并且每条通道都提供双向10Gbps带宽，最新的雷电3达到了40Gbps。

在苹果和Intel的大力推广下，如今市面上带有雷电的设备已经越来越多了。

这个“Thunderclap”漏洞存在雷电3、雷电2接口上，所以大多数带有雷电接口的笔记本电脑、台式机和扩展卡等都会受此影响。特别是苹果自2011年的MacBook Pro笔记本便开始加入雷电接口，现款更是全部为雷电3接口，但12英寸MacBook除外。而在操作系统方面，macOS、Windows和Linux内核的系统都会被黑客利用漏洞来进行攻击。

来自美国San Diego的NDSSS安全机构称，由于雷电是个可以集合多种数据类型传输的接口，有着比USB-C更底层、可直接访问内存（DMA）的权限，但现有雷电设备对DMA权限的保护很弱，这使得可以被黑客通过物理方式来访问设备来盗取密码、运行恶意代码，目前DMA最主要的保护措施为IOMMU。

在计算机领域，IOMMU（Input/Output Memory Management Unit）是一个内存管理单元，它的作用是连接DMA-capable I/O总线和主存，IOMMU把设备（device）访问的虚拟地址转化成物理地址。为了防止设备错误地访问内存，有些IOMMU还提供了访问内存保护机制。

2016年，操作系统供应商在其平台上添加了Thunderclap缓解措施，但这些措施并非100%有效，安全漏洞仍会影响使用IOMMU保护的系统。虽然某些平台（如Windows 7）甚至没有配备IOMMU，但在其它操作系统上，IOMMU要么作用有限（Windows 10企业版），要么是禁用的，唯一一个启用 IOMMU 的是 macOS，但由于它仍可遭 Thunderclap 漏洞绕过，因此用户并不安全。

目前，抵御这个漏洞的最佳方法是确保禁用所有雷电端口，并且不要共享硬件，如充电器，因为它们可能会被更改为目标设备。保持安全的最佳做法是确保不要让笔记本电脑无人看管。安全人员表示，这种攻击在实践中是非常合理的。雷电3端口上的电源、视频和外围设备DMA组合有助于创建恶意充电站或显示器，这些充电站或显示器功能正常，但同时控制连接的机器。

所以用户们需要做的是，保持设备的操作系统为最新版本，不要把未知、不熟悉的雷电接口外设接入到设备，以此防止被物理入侵。

参考来源：

• cnBeta.COM

• safebase

征题正在火热进行中！

（晋级赛Q1即将于3月10日开启，敬请期待！）

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com