การโจมตีแบบ Evil Maidคือการโจมตีอุปกรณ์ที่ไม่มีผู้ดูแล โดยผู้โจมตีที่สามารถเข้าถึงอุปกรณ์ได้จะทำการเปลี่ยนแปลงอุปกรณ์ในลักษณะที่ไม่สามารถตรวจจับได้ เพื่อที่พวกเขาจะได้สามารถเข้าถึงอุปกรณ์หรือข้อมูลในอุปกรณ์นั้นได้ในภายหลัง

ชื่อนี้หมายถึงสถานการณ์ที่แม่บ้านสามารถดัดแปลงอุปกรณ์ที่ถูกวางทิ้งไว้โดยไม่มีคนดูแลในห้องพักโรงแรมได้ แต่แนวคิดนี้ยังสามารถนำไปใช้กับสถานการณ์อื่นๆ เช่น อุปกรณ์ถูกดักจับระหว่างการขนส่ง หรือถูกเจ้าหน้าที่สนามบินหรือเจ้าหน้าที่บังคับใช้กฎหมายนำไปชั่วคราวได้อีกด้วย

ในบทความบล็อกปี 2009 นักวิเคราะห์ความปลอดภัยJoanna Rutkowskaได้บัญญัติศัพท์ "Evil Maid Attack" เนื่องจากห้องพักในโรงแรมเป็นสถานที่ทั่วไปที่อุปกรณ์ต่างๆ ถูกทิ้งไว้โดยไม่มีผู้ดูแล^{[ 1 ] [ 2 ]}บทความดังกล่าวได้อธิบายรายละเอียดวิธีการเจาะระบบเฟิร์มแวร์บนคอมพิวเตอร์ที่ไม่มีผู้ดูแลโดยใช้แฟลชไดรฟ์ USB ภายนอก และด้วยเหตุนี้จึงสามารถหลีกเลี่ยง การเข้ารหัส TrueCryptบนดิสก์ ได้ ^{[ 2 ]}

D. Defreez ผู้เชี่ยวชาญด้านความปลอดภัยของคอมพิวเตอร์ กล่าวถึงความเป็นไปได้ของการโจมตีแบบแม่บ้านชั่วร้ายบนสมาร์ทโฟน Android เป็นครั้งแรกในปี 2011 ^{[ 1 ]}เขาพูดถึงการแจกจ่าย Android WhisperCore และความสามารถในการเข้ารหัสดิสก์สำหรับ Android ^{[ 1 ]}

ในปี 2550 อดีตรัฐมนตรีว่าการกระทรวงพาณิชย์สหรัฐฯคาร์ลอส กูเตียร์เรซถูกกล่าวหาว่าตกเป็นเป้าหมายของการโจมตีจากแม่บ้านชั่วร้ายระหว่างการเดินทางไปทำธุรกิจที่ประเทศจีน^{[ 3 ]}เขาปล่อยคอมพิวเตอร์ทิ้งไว้โดยไม่ได้ดูแลระหว่างการเจรจาการค้าในปักกิ่ง และเขาสงสัยว่าอุปกรณ์ของเขาอาจถูกบุกรุก^{[ 3 ]}แม้ว่าข้อกล่าวหายังไม่ได้รับการยืนยันหรือปฏิเสธ แต่เหตุการณ์ดังกล่าวทำให้รัฐบาลสหรัฐฯ ระมัดระวังการโจมตีทางกายภาพมากขึ้น^{[ 3 ]}

ในปี 2552 Mark Bregman ซีทีโอของ Symantecได้รับคำแนะนำจากหน่วยงานของสหรัฐฯ หลายแห่งให้ทิ้งอุปกรณ์ของเขาไว้ในสหรัฐอเมริกาก่อนเดินทางไปจีน^{[ 4 ]}เขาได้รับคำสั่งให้ซื้ออุปกรณ์ใหม่ก่อนออกเดินทางและกำจัดทิ้งเมื่อเขากลับมา เพื่อที่ความพยายามใดๆ ในการกู้คืนข้อมูลทางกายภาพจะไม่ประสบผลสำเร็จ^{[ 4 ]}

การโจมตีเริ่มต้นเมื่อเหยื่อปล่อยอุปกรณ์ไว้โดยไม่มีผู้ดูแล^{[ 5 ]}จากนั้นผู้โจมตีสามารถดำเนินการแก้ไขระบบได้ หากอุปกรณ์ของเหยื่อไม่มีการป้องกันด้วยรหัสผ่านหรือการตรวจสอบสิทธิ์ ผู้บุกรุกสามารถเปิดคอมพิวเตอร์และเข้าถึงข้อมูลของเหยื่อได้ทันที^{[ 6 ]}อย่างไรก็ตาม หากอุปกรณ์มีการป้องกันด้วยรหัสผ่าน เช่นการเข้ารหัส แบบเต็มดิสก์ เฟิร์มแวร์ของอุปกรณ์จะต้องถูกบุกรุก ซึ่งโดยปกติจะทำโดยใช้ไดรฟ์ภายนอก^{[ 6 ]}เฟิร์มแวร์ที่ถูกบุกรุกจะแสดงข้อความแจ้งให้ป้อนรหัสผ่านปลอมแก่เหยื่อ ซึ่งเหมือนกับของจริงทุกประการ^{[ 6 ]}เมื่อป้อนรหัสผ่านแล้ว เฟิร์มแวร์ที่ถูกบุกรุกจะส่งรหัสผ่านไปยังผู้โจมตีและลบตัวเองออกหลังจากรีบูต^{[ 6 ]}เพื่อให้การโจมตีสำเร็จ ผู้โจมตีต้องกลับไปที่อุปกรณ์อีกครั้งเมื่อไม่มีผู้ดูแลเป็นครั้งที่สองเพื่อขโมยข้อมูลที่สามารถเข้าถึงได้ในขณะนี้^{[ 5 ] [ 7 ]}

วิธีการโจมตีอีกวิธีหนึ่งคือการโจมตีแบบ DMAซึ่งผู้โจมตีจะเข้าถึงข้อมูลของเหยื่อผ่านอุปกรณ์ฮาร์ดแวร์ที่เชื่อมต่อโดยตรงกับพื้นที่แอดเดรสทางกายภาพ^{[ 6 ]}ผู้โจมตีเพียงแค่ต้องเชื่อมต่อกับอุปกรณ์ฮาร์ดแวร์เพื่อเข้าถึงข้อมูล

การโจมตีแบบแม่บ้านชั่วร้ายยังสามารถทำได้โดยการแทนที่อุปกรณ์ของเหยื่อด้วยอุปกรณ์ที่เหมือนกันทุกประการ^{[ 1 ]}หากอุปกรณ์ดั้งเดิมมี รหัส ผ่านบูตโหลดเดอร์ผู้โจมตีเพียงแค่ต้องหาอุปกรณ์ที่มีหน้าจอป้อนรหัสผ่านบูตโหลดเดอร์ที่เหมือนกัน^{[ 1 ]} อย่างไรก็ตาม หากอุปกรณ์มีหน้าจอล็อกกระบวนการจะยากขึ้น เนื่องจากผู้โจมตีต้องหาภาพพื้นหลังเพื่อนำไปใส่ในหน้าจอล็อกของอุปกรณ์เลียนแบบ^{[ 1 ]}ไม่ว่าในกรณีใด เมื่อเหยื่อป้อนรหัสผ่านบนอุปกรณ์ปลอม อุปกรณ์จะส่งรหัสผ่านไปยังผู้โจมตีซึ่งครอบครองอุปกรณ์ดั้งเดิมอยู่^{[ 1 ]}จากนั้นผู้โจมตีก็สามารถเข้าถึงข้อมูลของเหยื่อได้^{[ 1 ]}

BIOS รุ่นเก่าถือว่าไม่ปลอดภัยต่อการโจมตีของ Evil Maid ^{[ 8 ]}สถาปัตยกรรมของมันเก่า การอัปเดตและOption ROMsไม่ได้รับการลงนามและการกำหนดค่าไม่ได้รับการป้องกัน^{[ 8 ]}นอกจากนี้ยังไม่รองรับการบูตที่ปลอดภัย^{[ 8 ]}ช่องโหว่เหล่านี้ทำให้ผู้โจมตีสามารถบูตจากไดรฟ์ภายนอกและบุกรุกเฟิร์มแวร์ได้^{[ 8 ]}จากนั้นเฟิร์มแวร์ที่ถูกบุกรุกสามารถกำหนดค่าให้ส่งการกดแป้นพิมพ์ไปยังผู้โจมตีจากระยะไกลได้^{[ 8 ]}

Unified Extensible Firmware Interface (UEFI) มีคุณสมบัติที่จำเป็นมากมายสำหรับการลดการโจมตีแบบ evil maid ^{[ 8 ]}ตัวอย่างเช่น มีกรอบการทำงานสำหรับการบูตที่ปลอดภัย ตัวแปรที่ได้รับการรับรองในระหว่างการบูต และความปลอดภัยในการเริ่มต้นTPM ^{[ 8 ]}แม้จะมีมาตรการรักษาความปลอดภัยเหล่านี้ ผู้ผลิตแพลตฟอร์มก็ไม่มีภาระผูกพันที่จะต้องใช้^{[ 8 ]}ดังนั้น ปัญหาด้านความปลอดภัยอาจเกิดขึ้นเมื่อคุณสมบัติที่ไม่ได้ใช้เหล่านี้ทำให้ผู้โจมตีสามารถใช้ประโยชน์จากอุปกรณ์ได้^{[ 8 ]}

ระบบ การเข้ารหัสแบบเต็มดิสก์จำนวนมากเช่น TrueCrypt และPGP Whole Disk Encryptionมีความเสี่ยงต่อการโจมตีแบบ Evil Maid เนื่องจากไม่สามารถตรวจสอบความถูกต้องกับผู้ใช้ได้^{[ 9 ]}ผู้โจมตียังคงสามารถแก้ไขเนื้อหาของดิสก์ได้แม้ว่าอุปกรณ์จะปิดเครื่องและเข้ารหัสแล้วก็ตาม^{[ 9 ]}ผู้โจมตีสามารถแก้ไขโค้ดตัวโหลดของระบบการเข้ารหัสเพื่อขโมยรหัสผ่านจากเหยื่อได้^{[ 9 ]}

ความสามารถในการสร้างช่องทางการสื่อสารระหว่างบูตโหลดเดอร์และระบบปฏิบัติการเพื่อขโมยรหัสผ่านของดิสก์ที่ได้รับการป้องกันโดยFileVault 2 จากระยะไกลก็ได้รับการสำรวจเช่นกัน^{[ 10 ]}บน ระบบ macOSการโจมตีนี้มีผลกระทบเพิ่มเติมเนื่องจากเทคโนโลยี "การส่งต่อรหัสผ่าน" ซึ่งรหัสผ่านบัญชีผู้ใช้ยังทำหน้าที่เป็นรหัสผ่าน FileVault ด้วย ทำให้เกิดช่องทางการโจมตี เพิ่มเติม ผ่าน การ ยก ระดับสิทธิ์

ในปี 2019 มีการประกาศช่องโหว่ชื่อ " Thunderclap " ในพอร์ต Intel Thunderboltที่พบในพีซีหลายเครื่อง ซึ่งอาจทำให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงระบบได้ผ่านการเข้าถึงหน่วยความจำโดยตรง (DMA) ซึ่งเป็นไปได้แม้จะใช้หน่วยจัดการหน่วยความจำ อินพุต/เอาต์พุต (IOMMU) ก็ตาม ^{[ 11 ] [ 12 ]}ช่องโหว่นี้ได้รับการแก้ไขโดยผู้ผลิตเป็นส่วนใหญ่ ต่อมาในปี 2020 ก็มี " Thunderspy " ซึ่งเชื่อว่าไม่สามารถแก้ไขได้ และอนุญาตให้ใช้ประโยชน์จาก DMA ในลักษณะเดียวกันเพื่อเข้าถึงระบบได้อย่างสมบูรณ์โดยข้ามคุณสมบัติการรักษาความปลอดภัยทั้งหมด^{[ 13 ]}

อุปกรณ์ใดๆ ที่ไม่มีผู้ดูแลอาจเสี่ยงต่อการโจมตีแบบแม่บ้านชั่วร้ายในเครือข่าย^{[ 1 ]}หากผู้โจมตีรู้จักอุปกรณ์ของเหยื่อดีพอ พวกเขาสามารถเปลี่ยนอุปกรณ์ของเหยื่อด้วยอุปกรณ์รุ่นเดียวกันที่มีกลไกการขโมยรหัสผ่านได้^{[ 1 ]}ดังนั้น เมื่อเหยื่อป้อนรหัสผ่าน ผู้โจมตีจะได้รับแจ้งทันทีและสามารถเข้าถึงข้อมูลของอุปกรณ์ที่ถูกขโมยได้^{[ 1 ]}

แนวทางหนึ่งคือการตรวจจับว่ามีใครบางคนอยู่ใกล้หรือกำลังจัดการกับอุปกรณ์ที่ไม่มีคนดูแล การบรรจุแบบสุญญากาศ^{[ 14 ]}สัญญาณเตือนระยะใกล้ สัญญาณเตือนตรวจจับการเคลื่อนไหว และกล้องไร้สาย สามารถใช้เพื่อแจ้งเตือนเหยื่อเมื่อผู้โจมตีอยู่ใกล้กับอุปกรณ์ของพวกเขา ซึ่งจะทำให้ปัจจัยความประหลาดใจของการโจมตีแบบแม่บ้านชั่วร้ายหมดไป^{[ 15 ]}แอป Haven สำหรับ Androidถูกสร้างขึ้นในปี 2017 โดยEdward Snowdenเพื่อทำการตรวจสอบดังกล่าวและส่งผลลัพธ์ไปยังสมาร์ทโฟนของผู้ใช้^{[ 16 ]}

ในกรณีที่ไม่มีสิ่งดังกล่าว สามารถใช้ เทคโนโลยีป้องกันการแกะชิ้นส่วนได้หลายประเภทเพื่อตรวจจับว่าอุปกรณ์ถูกถอดแยกชิ้นส่วนหรือไม่ ซึ่งรวมถึงวิธีแก้ปัญหาต้นทุนต่ำอย่างการทาเล็บกลิตเตอร์ทับรูสกรู^{[ 17 ]}

หลังจากสงสัยว่ามีการโจมตีเกิดขึ้น ผู้เสียหายสามารถตรวจสอบอุปกรณ์ของตนเพื่อดูว่ามีการติดตั้งมัลแวร์หรือไม่ แต่วิธีนี้ค่อนข้างท้าทาย แนวทางที่แนะนำคือการตรวจสอบแฮชของเซกเตอร์และพาร์ติชั่นของดิสก์ที่เลือก^{[ 2 ]}

หากอุปกรณ์อยู่ภายใต้การเฝ้าระวังตลอดเวลา ผู้โจมตีจะไม่สามารถทำการโจมตีแบบแม่บ้านชั่วร้ายได้โดยไม่ถูกตรวจจับ^{[ 15 ] [ 14 ]}หากปล่อยทิ้งไว้โดยไม่มีผู้ดูแล อุปกรณ์อาจถูกวางไว้ในกล่องล็อคเพื่อไม่ให้ผู้โจมตีเข้าถึงอุปกรณ์ได้^{[ 15 ]}อย่างไรก็ตาม จะมีสถานการณ์ เช่น อุปกรณ์ถูกนำออกไปชั่วคราวโดยเจ้าหน้าที่สนามบินหรือเจ้าหน้าที่บังคับใช้กฎหมาย ซึ่งวิธีนี้ไม่สามารถทำได้

มาตรการรักษาความปลอดภัยขั้นพื้นฐาน เช่น การมีเฟิร์มแวร์ที่ทันสมัยที่สุดและการปิดอุปกรณ์ก่อนที่จะปล่อยทิ้งไว้โดยไม่มีผู้ดูแล จะช่วยป้องกันการโจมตีที่ใช้ประโยชน์จากช่องโหว่ในสถาปัตยกรรมแบบเก่าและอนุญาตให้อุปกรณ์ภายนอกเข้าถึงพอร์ตที่เปิดอยู่ได้^{[ 5 ]}

ระบบการเข้ารหัสดิสก์ที่ใช้ CPU เช่นTRESORและ Loop-Amnesia ป้องกันไม่ให้ข้อมูลเสี่ยงต่อการโจมตี DMA โดยทำให้มั่นใจได้ว่าข้อมูลจะไม่รั่วไหลเข้าไปในหน่วยความจำของระบบ^{[ 18 ]}

การบูตที่ปลอดภัยโดยใช้ TPMได้รับการพิสูจน์แล้วว่าสามารถลด (ไม่ใช่ป้องกัน) การโจมตีประเภท Evil Maid ได้โดยการตรวจสอบความถูกต้องของอุปกรณ์กับผู้ใช้^{[ 19 ]}โดยจะปลดล็อกก็ต่อเมื่อผู้ใช้ป้อนรหัสผ่านที่ถูกต้อง และหากระบบตรวจสอบแล้วว่าไม่มีการเรียกใช้โค้ดที่ไม่ได้รับอนุญาตบนอุปกรณ์^{[ 19 ]}การตรวจสอบเหล่านี้ดำเนินการโดยระบบรากแห่งความเชื่อถือ เช่นBitLocker ของ Microsoft และเทคโนโลยี TXT ของ Intel ^{[ 9 ]}โปรแกรมAnti Evil Maidสร้างขึ้นบนพื้นฐานของการบูตที่ปลอดภัยโดยใช้ TPM และพยายามตรวจสอบความถูกต้องของอุปกรณ์กับผู้ใช้เพิ่มเติม^{[ 1 ]}

• การโจมตีแบบ Cold boot
• การแอบดูด้านหลัง (ด้านความปลอดภัยทางคอมพิวเตอร์)