Eindhovenin yliopiston tietoturvatutkija Björn Ruytenberg paljasti useita haavoittuvuuksia – kaikkiaan seitsemän – Intelin kehittämässä Thunderbolt-protokollassa. Yliopiston mukaan prosessorijätti suhtautui haavoittuvuuksiin hyvin välinpitämättömästi eikä olisi edes halunnut informoida PC-valmistajiaa asiasta.
Ruytenbergin löydösten mukaan Thunderbot-protokollassa oli ongelmia esimerkiksi laitteiden autentikoinnissa ja uusien laiteohjelmistojen päivitysprosessissa. Tämä johti siihen, että periaatteessa kaikki vuosina 2011-2020 valmistetut PC-tietokoneet, joissa liitäntä oli, olivat alttiita hyökkäyksille.
Ruytenberg antoi haavoittuvuuksille kekseliään nimen, Thunderspy. Käyttäjien kannalta hyvä puoli haavoittuvuuksissa on se, että niiden hyödyntäminen edellyttää hyökkääjältä fyysistä pääsyä koneen Thunderbolt-liitäntään.
Haavoittuvuuksia voidaan kuitenkin käyttää kaikkiaan yhdeksällä eri tavalla, jotka Eindhovenin yliopiston haavoittuvuudelle laatimalla verkkosivulla (https://thunderspy.io/) on listattu. Tietojen mukaan hyökkääjä pääsee kiinni koneen tietoihin 5 minuutissa, jos käytössä on ruuvimeisseli ja sopiva kannettava laite.
Thunderspy-haavoittuvuuksia ei voida korjata ohjelmistopäivityksillä. Lisäksi ne vaikuttavat tulevaisuuden standardeihin, kuten USB 4 ja Thunderbolt 4. Käytännössä ratkaisu vaatii uusia piirejä. Eindhovenin tutkijat ovat kehittäneet Spycheck-työkalun, jolla voi tarkistaa onko oman koneen järjestelmä haavoittuva Thunderspylle.
Tämä kaikki on kuitenkin varsin normaalia. Aika ajoin laitteista, käyttöjärjestelmistä ja protokollista löytyy haavoittuvuuksia, joista valtaosa ei vaikuta normaalikäyttäjään millään tavalla. Huomionarvoista Thunderspy-tapauksessa on se, miten protokollaan kehittänyt Intel suhtautui tutkijoiden huomautuksiin.
Tutkijat paljastivat haavoittuvuudet 1-5 Intelille 10. helmikuuta. Intel vahvisti löydökset 10. maaliskuuta sanoen, että haavoittuvuudet 3–5 olivat heille uusia. Jatkotutkimuksissa löytyi haavoittuvuus 6, jonka Intel vahvisti 17. maaliskuuta.
Tutkijat pyysivät jo ensimmäisessä sähköpostiviestissä Intelia ilmoittamaan asiasta välittömästi asianomaisille osapuolille yhteistyössä yliopiston kanssa. Intel ei kuitenkaan ryhtynyt mihinkään toimiin ja lopulta, usean sähköpostinvaihdon jälkeen, ilmoitti kertovansa haavoittuvuuksista vain viidelle osapuolelle. Einhovenin yliopiston tutkijoiden mukaan oli koko joukko yrityksiä, joita ongelma kosketti ja joille asista pitäisi ilmoittaa, mukaan lukien 11 PC-valmistajaa ja Linux-kernelin tietoturvan kehittämisestä vastuussa oleva ryhmä. Intel ei suostunut kertomaan, keille kaikille haavoittuvuuksista ilmoitettiin ja mitä yksityiskohtia tiedot sisälsivät. Intelin toimintaa ei voi tässä tilanteessa pitää hyväksyttävänä.