USB 出現巨大安全漏洞：不要用陌生人的U盤

今年7月，研究員Karsten Nohl和Jakob Lell在拉斯維加斯的黑帽安全大會上宣布他們找到一個名為BadUSB的重大安全漏洞，這一漏洞讓黑客可 以偷偷往設備上傳輸惡意軟件，同時不被發現。更糟糕的是，目前還找不到能修復這一漏洞的方法。所有的U盤在使用時都存在風險，而且由于出現問題的代碼存在 于USB固件中，如果不對整個系統進行重新設計，就無法修復漏洞。唯一的好消息是，Nohl和Lell當時沒有把代碼公布，所以我們暫時還有應對的時間。

但 是現在現在代碼已經被公布了，就在本周，在DerbyCon的一個討論會上，Adam Caudill和Brandon Wilson宣布他們成功對BadUSB進行了反向編程。他們把代碼公布到GitHub，并展示了它的好幾個用途，包括通過攻擊來控制用戶的鍵盤。 Caudill表示他們公布代碼的目的給制造商壓力。“只有那些預算充足的人才會去做這件事，制造商是肯定不會的，”他對Wired的Andy Greenberg說道。“你需要向世界證明這是很現實的事，任何人都會做。”

不過他們的行為仍然很難推動USB的安全發展，因為只要黑客可以對USB固件進行改編，這種攻擊就仍然是一個巨大的威脅。對這一漏洞進行修復的唯一 方法就是在固件周圍加上一個新的保護層，但這就意味著需要更新整個USB標準。不管廠商們如何應對，在未來很長一段時間，我們都會暴露在這一漏洞帶來的威 脅之下。

你每一次使用U盤，都將是一次有安全風險的行為。保護自己的唯一辦法就是不用它，特別是陌生的U盤，亂插U盤就像濫交一樣，染病的風險大大增加。

這次的USB漏洞很難修復，不過我們本就不像以前那么依賴USB設備了，特別是U盤，越來越多人轉向了云存儲。或許這會成為推動云發展的一個契機。