別讓電腦與駭客獨處!Thunderbolt 恐成最新入侵管道,5 分鐘資料全竊走

資安專家 Björn Ruytenberg 說,這種新手法沒辦法透過任何簡單的軟體修補程式來防止,只有一個建議:禁用 Thunderbolt!
評論
▲Photo Credit: Shutterstock/ 達志影像
評論

根據 WIRED 報導,歐洲頂尖理工大學之一的荷蘭埃因霍溫理工大學(Eindhoven University of Technology)研究員 Björn Ruytenberg 發現,在 2019 年之前所生產的 Windows 或 Linux 電腦,只要有支援 Thunderbolt,即便是把電腦鎖定或設定為休眠狀態,駭客還是可以直接透過 Thunderbolt 進行實體存取(physical access),竊走電腦中的所有資料、數據。

這項攻擊手法被稱為「Thunderspy」, 可謂是「凡走過,卻不留下痕跡」。因為就算沒有網路釣魚、惡意軟體,就算你把電腦設定安全啟動(Secure Boot)機制或進行磁碟加密,駭客只需要有一把螺絲起子和一些可攜帶的硬體設備,就能在短短 5 分鐘內拆開電腦外殼並竊走所有數據。

Björn Ruytenberg 在網站上揭露了 Thunderspy 的攻擊模式和細節,也預計在今年夏天舉辦的黑帽大會(Black Hat)上,詳細展示 Thunderspy 如何在 5 分鐘內完成入侵。

過去在資安領域,有一項被稱為「邪惡女傭攻擊」(Evil maid attack)的攻擊模式,指的是:當駭客擁有實體存取權限,只要他能夠在四下無人狀態下,與電腦「獨處」幾分鐘,就能夠用難以檢測的方式竊走所有資料,最後再拍拍屁股走人,不留下痕跡。

這個名稱的來源,是因為女傭往往是最有機會在飯店房間裡,與商務人士留下的電腦或其他 3C 設備「獨處」的人。事實上,在商務旅行中,這些電腦如果托運,也可能在運輸過程中與有心人士「獨處」並被入侵。

資安專家也擔憂,Thunderspy 模式可能讓原本的邪惡女傭攻擊模式再多了一個新的入侵途徑,而 Björn Ruytenberg 也說,這種新手法沒辦法透過任何簡單的軟體修補程式來防止,只有一個建議:禁用 Thunderbolt!

Thunderbolt 是英特爾發表的連接器標準,因此 Björn Ruytenberg 也在 3 個月前告知英特爾此一安全漏洞,但並未獲得直接回應。後來,他也於 4 月中向蘋果公司告知此一漏洞。

隨著駭客手法愈來愈高竿,一般民眾該如何應對呢?或許可以參考許多「資安至上」的人的建議:絕對不要讓你的電腦或 3C 產品與駭客獨處,就算只有 5 分鐘也不行!

核稿編輯:Mia

延伸閱讀:



不限車款、車齡都能升級?《車管+懶人包》輕鬆加入「手機車鑰匙」的行列

笠眾實業(IVTES)開發的「車管+」系統安裝與使用教學,升級手機車鑰匙的方法,全都整理在這裡了。
評論
評論

不限車款或年份的「車管+」手機車鑰匙,近期引起許多車主的興趣。畢竟不用花大錢換名牌車,就能夠輕鬆入門享有智慧便捷的 iKey,確實是相對無負擔的高 CP 值選擇。那麼使用「車管+」手機車鑰匙是否會要大幅度改車,其實也不必。這款由笠眾實業(IVTES)開發的「車管+」系統,只需要改裝一支「原廠車鑰匙」,並在車上安裝主機、手機下載「車管+1號」App,就可擁有一系列手機車鑰匙的智慧應用。

安裝簡易:可請一般汽修保養廠代勞或自行 DIY,下載 App 萬事俱足

從官網線上訂購並收到「車管+」的主機套組後,首先第一步就是改裝遙控器,再安裝車內主機,日後即可透過手機作為汽車門鎖的備份鑰匙。其實安裝產品並不難,車主可以選擇:

  1. 如果自己對從遙控器中取出電路板與電路焊接作業有信心,可以直接自行 DIY,笠眾會隨產品提供簡易量測工具與說明手冊,若車主對汽車電系了解也能自行安裝主機與收納。
  2. 可寄送遙控器請笠眾公司代為改裝隨產品回寄後,車主再請汽車保修廠安裝主機與收納。
  3. 現場安裝地點位於新北市中和,需與笠眾公司預約安裝時段。

遙控器改裝、車內主機安裝的作業原理可以參考上圖。特別要注意的是,「手機車鑰匙」僅作為汽車門鎖控制,並非日後用手機就能直接啟動汽車引擎。如果是「一鍵啟動」的車款,與車主的手機藍牙配對連線時即會對車內改裝電路板供應 3V 電源,所以可以直接啟動汽車;若為「插鑰匙啟動」車款,一樣要插入五金鑰匙啟動才能發動引擎,建議車內可預先放置五金鑰匙。

常用功能指南:共享車機 vs 虛擬鑰匙

除了上圖直接以 App 介面為例說明常用功能之外,入門使用者較容易混淆的通常是「共享車機」和「虛擬鑰匙」這兩種功能。其實這兩者的分別很簡單,可以參考下表一目瞭然:

簡單來說,如果是長期要一起共享汽車的親朋好友或是公務用車,建議使用「共享車機」,用車時藍牙會自動傳輸資料,便於車主或公務車人員管理,掌握汽車動向;如果是單次臨時用車,則建議使用「虛擬鑰匙」,用車者會拿到一組有時效性的虛擬鑰匙連結,可作為短期用車使用,不必大費周章面交實體鑰匙,就能共享用車。

使用者常見Q&A

使用者常見 Q&A 整理如上圖。人手一機、手機不離身的時代,升級為「車管+」的手機車鑰匙,利用手機藍牙自動感應功能,就能自動上解/鎖,解決過往要開車時才發現忘記拿鑰匙、下車後又忘記鎖車的問題。如果不小心被反鎖在車外,連自己的手機也被鎖在車內時,也可以借用他人的手機下載 App,登入帳號即可以解鎖。

另外,日後如果賣車或換新車,有需要的話也可以恢復成原本的車鑰匙;而且產品拆卸簡易,要移機至新車繼續使用也是沒問題的。想要體驗手機車鑰匙的新潮與便利嗎?不限車款、車齡都能輕鬆入門!

立即安裝車管+