USB嚴重漏洞代碼遭公布：情況很糟糕

USB 嚴重漏洞代碼遭公布：情況很糟糕

        對于今年早些時候曝光的致命 USB 漏洞“BadUSB”，兩位研究人員近日對其進行了“反向工程”，并公布了相關代碼，此舉可能使 BadUSB 漏洞的危害性變得更大。

        7 月份，研究人員卡斯滕·諾爾(Karsten Nohl)和賈科布·萊爾(Jakob Lell)曾宣布發現一個名為“BadUSB”的嚴重漏洞，允許攻擊者在不被檢測到的情況下悄悄在 USB 設備中植入惡意軟件。

        更糟糕的是，目前似乎并沒有明確的修復方法。任何插入 USB 存儲設備的用戶，都相當于向攻擊者敞開了大門，因為這段糟糕的代碼已經被固化在固件里。諾爾說：“人們無法判斷病毒的來源，就像被施了魔法一樣。”

        幸運的是，諾爾和萊爾并未發布相關代碼，才使得整個行業有時間來為“沒有 USB 的世界”做好準備。但本周，這一局面被徹底打破。

        在 DerbyCon 黑客大會上，兩位安全研究人員亞當·考蒂爾(Adam Caudill)和布蘭頓·威爾森(Brandon Wilson)稱，他們已對 BadUSB 進行了“反向工程”(reverse-engineered)。他們在 GitHub 上發布了相關代碼，并演示了多種用途，包括攻擊并控制目標用戶的鍵盤輸入。

        考蒂爾稱，他們發布源代碼的動機是向制造商施壓。他說：“如果你不向全世界證明這件事可以輕易做到，那么制造商就會拖著什么都不做。因此我們必須要證明，這種攻擊是切實可行的，且任何人都能做到。”

        但是，此舉并的“凈效應”并不能推動 USB 安全。因為黑客可以對 USB 固件進行重新編程，反而使其威脅性更大。修復該漏洞的唯一方案是在固件上打造一個全新的安全層，但這需要對 USB 標準進行全面更新，也就意味著這種不安全性將持續數年。

                    <span id="shareA4" class="fl">                            
                        </span> 

</div>