今年7月,研究員Karsten Nohl和Jakob Lell在拉斯維加斯的黑帽安全大會上宣布他們找到一個名為BadUSB的重大安全漏洞,這一漏洞讓黑客可以偷偷往設備上傳輸惡意軟件,同時不被發現。更糟糕的是,目前還找不到能修復這一漏洞的方法。所有的U盤在使用時都存在風險,而且由於出現問題的代碼存在於USB固件中,如果不對整個系統進行重新設計,就無法修復漏洞。唯一的好消息是,Nohl和Lell當時沒有把代碼公佈,所以我們暫時還有應對的時間。
但是現在現碼已經被公佈了,就在本週,在DerbyCon的一個討論會上,Adam Caudill和Brandon Wilson宣布他們成功對BadUSB進行了反向編程。他們把代碼公佈到GitHub,並展示了它的好幾個用途,包括通過攻擊來控制用戶的鍵盤。 Caudill表示他們公佈代碼的目的是給製造商壓力。 “只有那些預算充足的人才會去做這件事,製造商是肯定不會的,”他對Wired的Andy Greenberg說道。 “你需要向世界證明這是很現實的事,任何人都會做。”
不過他們的行為仍然很難推動USB的安全發展,因為只要黑客可以對USB固件進行改編,這種攻擊就仍然是一個巨大的威脅。對這一漏洞進行修復的唯一方法就是在固件周圍加上一個新的保護層,但這就意味著需要更新整個USB標準。不管廠商們如何應對,在未來很長一段時間,我們都會暴露在這一漏洞帶來的威脅之下。
你每一次使用U盤,都將是一次有安全風險的行為。保護自己的唯一辦法就是不用它,特別是陌生的U盤,亂插U盤就像濫交一樣,染病的風險大大增加。
這次的USB漏洞很難修復,不過我們本就不像以前那麼依賴USB設備了,特別是U盤,越來越多人轉向了雲存儲。或許這會成為推動雲發展的一個契機。
via theverge
資料來源:雷鋒網
編輯:劉方平
請按此登錄後留言。未成為會員? 立即註冊