USB 出现巨大安全漏洞:不要用陌生人的U盘
jopen 10年前
今年7月,研究员Karsten Nohl和Jakob Lell在拉斯维加斯的黑帽安全大会上宣布他们找到一个名为BadUSB的重大安全漏洞,这一漏洞让黑客可 以偷偷往设备上传输恶意软件,同时不被发现。更糟糕的是,目前还找不到能修复这一漏洞的方法。所有的U盘在使用时都存在风险,而且由于出现问题的代码存在 于USB固件中,如果不对整个系统进行重新设计,就无法修复漏洞。唯一的好消息是,Nohl和Lell当时没有把代码公布,所以我们暂时还有应对的时间。
但 是现在现在代码已经被公布了,就在本周,在DerbyCon的一个讨论会上,Adam Caudill和Brandon Wilson宣布他们成功对BadUSB进行了反向编程。他们把代码公布到GitHub,并展示了它的好几个用途,包括通过攻击来控制用户的键盘。 Caudill表示他们公布代码的目的给制造商压力。“只有那些预算充足的人才会去做这件事,制造商是肯定不会的,”他对Wired的Andy Greenberg说道。“你需要向世界证明这是很现实的事,任何人都会做。”
不过他们的行为仍然很难推动USB的安全发展,因为只要黑客可以对USB固件进行改编,这种攻击就仍然是一个巨大的威胁。对这一漏洞进行修复的唯一 方法就是在固件周围加上一个新的保护层,但这就意味着需要更新整个USB标准。不管厂商们如何应对,在未来很长一段时间,我们都会暴露在这一漏洞带来的威 胁之下。
你每一次使用U盘,都将是一次有安全风险的行为。保护自己的唯一办法就是不用它,特别是陌生的U盘,乱插U盘就像滥交一样,染病的风险大大增加。
这次的USB漏洞很难修复,不过我们本就不像以前那么依赖USB设备了,特别是U盘,越来越多人转向了云存储。或许这会成为推动云发展的一个契机。
via theverge/ 雷锋网