今年7月,研究员Karsten Nohl和Jakob Lell在拉斯维加斯的黑帽安全大会上宣布他们找到一个名为BadUSB的重大安全漏洞,这一漏洞让黑客可以偷偷往设备上传输恶意软件,同时不被发现。更糟糕的是,目前还找不到能修复这一漏洞的方法。所有的U盘在使用时都存在风险,而且由于出现问题的代码存在于USB固件中,如果不对整个系统进行重新设计,就无法修复漏洞。唯一的好消息是,Nohl和Lell当时没有把代码公布,所以我们暂时还有应对的时间。
但是现在现在代码已经被公布了,就在本周,在DerbyCon的一个讨论会上,Adam Caudill和Brandon Wilson宣布他们成功对BadUSB进行了反向编程。他们把代码公布到GitHub,并展示了它的好几个用途,包括通过攻击来控制用户的键盘。Caudill表示他们公布代码的目的给制造商压力。“只有那些预算充足的人才会去做这件事,制造商是肯定不会的,”他对Wired的Andy Greenberg说道。“你需要向世界证明这是很现实的事,任何人都会做。”
不过他们的行为仍然很难推动USB的安全发展,因为只要黑客可以对USB固件进行改编,这种攻击就仍然是一个巨大的威胁。对这一漏洞进行修复的唯一方法就是在固件周围加上一个新的保护层,但这就意味着需要更新整个USB标准。不管厂商们如何应对,在未来很长一段时间,我们都会暴露在这一漏洞带来的威胁之下。
你每一次使用U盘,都将是一次有安全风险的行为。保护自己的唯一办法就是不用它,特别是陌生的U盘,乱插U盘就像滥交一样,染病的风险大大增加。
这次的USB漏洞很难修复,不过我们本就不像以前那么依赖USB设备了,特别是U盘,越来越多人转向了云存储。或许这会成为推动云发展的一个契机。
via theverge