今年7月，研究員Karsten Nohl和Jakob Lell在拉斯維加斯的黑帽安全大會上宣布他們找到一個名為BadUSB的重大安全漏洞，這一漏洞讓黑客可以偷偷往設(shè)備上傳輸惡意軟件，同時不被發(fā)現(xiàn)。更糟糕的是，目前還找不到能修復(fù)這一漏洞的方法。所有的U盤在使用時都存在風(fēng)險，而且由于出現(xiàn)問題的代碼存在于USB固件中，如果不對整個系統(tǒng)進(jìn)行重新設(shè)計，就無法修復(fù)漏洞。唯一的好消息是，Nohl和Lell當(dāng)時沒有把代碼公布，所以我們暫時還有應(yīng)對的時間。

但是現(xiàn)在現(xiàn)在代碼已經(jīng)被公布了，就在本周，在DerbyCon的一個討論會上，Adam Caudill和Brandon Wilson宣布他們成功對BadUSB進(jìn)行了反向編程。他們把代碼公布到GitHub，并展示了它的好幾個用途，包括通過攻擊來控制用戶的鍵盤。Caudill表示他們公布代碼的目的給制造商壓力?！爸挥心切╊A(yù)算充足的人才會去做這件事，制造商是肯定不會的，”他對Wired的Andy Greenberg說道?！澳阈枰蚴澜缱C明這是很現(xiàn)實的事，任何人都會做?！?/p>

不過他們的行為仍然很難推動USB的安全發(fā)展，因為只要黑客可以對USB固件進(jìn)行改編，這種攻擊就仍然是一個巨大的威脅。對這一漏洞進(jìn)行修復(fù)的唯一方法就是在固件周圍加上一個新的保護(hù)層，但這就意味著需要更新整個USB標(biāo)準(zhǔn)。不管廠商們?nèi)绾螒?yīng)對，在未來很長一段時間，我們都會暴露在這一漏洞帶來的威脅之下。

你每一次使用U盤，都將是一次有安全風(fēng)險的行為。保護(hù)自己的唯一辦法就是不用它，特別是陌生的U盤，亂插U盤就像濫交一樣，染病的風(fēng)險大大增加。

這次的USB漏洞很難修復(fù)，不過我們本就不像以前那么依賴USB設(shè)備了，特別是U盤，越來越多人轉(zhuǎn)向了云存儲?；蛟S這會成為推動云發(fā)展的一個契機(jī)。

via theverge

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。