Yeni Keşfedilen USB-C Güvenlik Açığı Bilgisayarları Tamamen Savunmasız Bırakıyor
Bildik USB bağlantı noktası yavaş yavaş yerini USB-C bağlantılara bırakıyor. Yeni Macbook'lar, yeni Chromebook'lar, Android akıllı telefonlar gibi son birkaç sene içerisinde çıkan pek çok teknolojik cihazda yaygın olarak var. Çok yüksek hızda veri transferi ve oldukça yüksek volt ve amper değerlerinde şarj imkanı verdiği için tercih ediliyor. USB-C bu hıza ulaşabilmek için DMA denilen "direk bellek erişimi" kullanıyor, bu mekanizmada bulunan bir güvenlik açığı ise bilgisayarın tamamen ele geçirilmesine neden olma riski içeriyor
Cambridge Üniversitesi Bilgisayar Mühendisliği ve Teknoloji Bölümü, Rice Üniversitesi ve SRI International ortak çalışması ile ortaya çıkan ve “Thunderclap” olarak adlandırılan bu zafiyet aslında doğrudan USB-C bağlantı noktasını hedef almıyor, USB-C üzerinden çalışan “Thunderbolt 3” prokokolünü kullanıyor. Normalde USB-C kullanan bir bilgisayarda bu bağlantı noktasına bağlanan çevre birimleri “Giriş-Çıkış Bellek Yönetimi” (IOMMUs) isimli bir birimden geçer ve yetkileri kontrol edilir. Ancak bazı üreticiler bu performans kaybına neden oluyor diye IOMMU erişimini baypas ediyor, işte zafiyette tam bu noktada ortaya çıkıyor.
Bu zafiyeti kullanarak saldırı yapmak için USB-C’ye bağlı bir projektör ya da basit bir şarj adaptörü bile yeterli diyor uzamanlar. Windows, macOS, Linux and FreeBSD işletim sistemleri bu risk taşıyor ancak Windows’un IOMMU kullanımı farklı olduğu için “daha az riskli” olarak değerlendirilmiş.
Zafiyeti bulan araştırmacılar kalıcı bir çözüm bulunana kadar USB-C üzerinden çalışan Thunderbolt bağlantı noktalarının tamamen devre dışı bırakılmasını tavsiye ediyor. Apple ise yaptığı açıklamada güvenlik yamalarının güncel bir şekilde geçilmesini tavsiye ediyor.