今年7月，研究員Karsten Nohl和Jakob Lell在拉斯維加斯的黑帽安全大會(huì)上宣布他們找到一個(gè)名為BadUSB的重大安全漏洞，這一漏洞讓黑客可以偷偷往設(shè)備上傳輸惡意軟件，同時(shí)不被發(fā)現(xiàn)。更糟糕的是，目前還找不到能修復(fù)這一漏洞的方法。所有的U盤在使用時(shí)都存在風(fēng)險(xiǎn)，而且由于出現(xiàn)問題的代碼存在于USB固件中，如果不對(duì)整個(gè)系統(tǒng)進(jìn)行重新設(shè)計(jì)，就無法修復(fù)漏洞。唯一的好消息是，Nohl和Lell當(dāng)時(shí)沒有把代碼公布，所以我們暫時(shí)還有應(yīng)對(duì)的時(shí)間。

但是現(xiàn)在現(xiàn)在代碼已經(jīng)被公布了，就在本周，在DerbyCon的一個(gè)討論會(huì)上，Adam Caudill和Brandon Wilson宣布他們成功對(duì)BadUSB進(jìn)行了反向編程。他們把代碼公布到GitHub，并展示了它的好幾個(gè)用途，包括通過攻擊來控制用戶的鍵盤。Caudill表示他們公布代碼的目的給制造商壓力?！爸挥心切╊A(yù)算充足的人才會(huì)去做這件事，制造商是肯定不會(huì)的，”他對(duì)Wired的Andy Greenberg說道?！澳阈枰蚴澜缱C明這是很現(xiàn)實(shí)的事，任何人都會(huì)做?！?/p>

不過他們的行為仍然很難推動(dòng)USB的安全發(fā)展，因?yàn)橹灰诳涂梢詫?duì)USB固件進(jìn)行改編，這種攻擊就仍然是一個(gè)巨大的威脅。對(duì)這一漏洞進(jìn)行修復(fù)的唯一方法就是在固件周圍加上一個(gè)新的保護(hù)層，但這就意味著需要更新整個(gè)USB標(biāo)準(zhǔn)。不管廠商們?nèi)绾螒?yīng)對(duì)，在未來很長一段時(shí)間，我們都會(huì)暴露在這一漏洞帶來的威脅之下。

你每一次使用U盤，都將是一次有安全風(fēng)險(xiǎn)的行為。保護(hù)自己的唯一辦法就是不用它，特別是陌生的U盤，亂插U盤就像濫交一樣，染病的風(fēng)險(xiǎn)大大增加。

這次的USB漏洞很難修復(fù)，不過我們本就不像以前那么依賴USB設(shè)備了，特別是U盤，越來越多人轉(zhuǎn)向了云存儲(chǔ)。或許這會(huì)成為推動(dòng)云發(fā)展的一個(gè)契機(jī)。

via theverge

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。