在3月9日的發(fā)布會(huì)上，蘋(píng)果推出了new MacBook，順便帶來(lái)了多合一的USB–C接口。緊接著Google就發(fā)布新款Chromebook Pixel，也配備了USB–C。這種節(jié)奏，似乎告訴我們?cè)诓痪玫膶?lái)，USB –C將會(huì)成為標(biāo)配。

當(dāng)然，USB–C有它強(qiáng)大之處才會(huì)征服蘋(píng)果Google，比如體積小、不分正反、傳輸性能高、功率高可作電源接口以及集成更多功能性接口。但是它也又不好的地方，比如通用性差，只能進(jìn)行一項(xiàng)工作即你在充電的時(shí)候，就別想用這個(gè)接口做點(diǎn)別的事情。不過(guò)這些細(xì)節(jié)問(wèn)題遠(yuǎn)不及該接口的安全問(wèn)題來(lái)得嚴(yán)重。

USB–C潛在風(fēng)險(xiǎn)

USB–C是基于USB標(biāo)準(zhǔn)的接口之一，它容易受到惡意固件的攻擊和入侵。此外，研究人員還擔(dān)心該接口通過(guò)直接內(nèi)存訪問(wèn)DMA進(jìn)行入侵。以上這些bug都不是新事物，但是這些潛在的危險(xiǎn)在一個(gè)萬(wàn)能的接口中，不可不說(shuō)是一件恐怖的事情。以前，如果有用戶擔(dān)心USB病毒入侵，就會(huì)進(jìn)行接口檢查或者直接扔掉買(mǎi)新的，如今只有一個(gè)接口，而且還是作為電源接口，因此，不能像以前那么自由，尤其在這個(gè)接口上搭載一些惡意程序，這是一個(gè)很嚴(yán)重的后果。

BadUSB攻擊方法

在2014黑帽大會(huì)上，出現(xiàn)一種叫BadUSB的攻擊方法，讓惡意軟件通過(guò)USB設(shè)備滲透到網(wǎng)絡(luò)中，即使扔掉感染的USB設(shè)備，還會(huì)通過(guò)受害者電腦的USB端口來(lái)傳播病毒，這種攻擊方法讓USB安全以及USB相關(guān)的設(shè)備（包括具有USB端口的電腦）都陷入風(fēng)險(xiǎn)中。盡管我們知道如何保護(hù)外設(shè)設(shè)備免受攻擊，比如在UBS中內(nèi)置保護(hù)功能，但是電腦就很難避免了。因?yàn)殡娔X普適接受USB接口，即使這個(gè)USB內(nèi)置了保護(hù)功能，那個(gè)可能就沒(méi)有了。

根據(jù)最近的報(bào)道，蘋(píng)果允許第三方充電器支持 USB–C接口。這將意味著，將會(huì)有更多受感染的USB接口和相關(guān)設(shè)備。試想一下，使用BadUSB的攻擊方法，加上多合一的USB–C接口，每插拔一次就進(jìn)行一次病毒傳播，這種場(chǎng)景讓人毛骨悚然。

USB–C不能破解BadUSB

盡管USB–C的優(yōu)勢(shì)多多，安全專家表示，它還不能破解BadUSB的攻擊。BadUSB的研究者Karsten Nohl表示，USB–C接口多功能性以及額外的開(kāi)放性，讓它面臨更多的攻擊界面（attack surface）。即使這是新的接口，也沒(méi)能應(yīng)對(duì)BadUSB的攻擊。從某種程度說(shuō)，USB的開(kāi)放標(biāo)準(zhǔn)是必要的，它不僅能向后兼容，也向第三方開(kāi)放標(biāo)準(zhǔn)。比如，你用USB–C的適配器來(lái)兼容老的USB設(shè)備，老的軟件仍然支持USB–C。即使是像蘋(píng)果Google那樣的巨頭也需要遵守USB的協(xié)議標(biāo)準(zhǔn)，只有這樣才能維持整個(gè)USB生態(tài)的穩(wěn)定，但是，這種穩(wěn)定的代價(jià)就是用戶需要面臨的安全漏洞的風(fēng)險(xiǎn)。

具體來(lái)說(shuō)，就是new MacBook和Chromebook Pixel的用戶需要面臨一種稱之為“借充電器”的攻擊風(fēng)險(xiǎn)。雖然新的接口USB–C沒(méi)有BadUSB病毒的固件，但是不懷好意的黑客會(huì)自己安裝，然后通過(guò)在咖啡廳找目標(biāo)，用新接口幫你充電或者傳輸數(shù)據(jù)什么，總會(huì)找到理由的。

保護(hù)好你的充電器

從整個(gè)生態(tài)系統(tǒng)的水平上去修補(bǔ)這種安全漏洞，似乎不太可能。也不會(huì)出現(xiàn)憑借一個(gè)公司的力量可以改變龐大的USB聯(lián)盟。最實(shí)際的方式應(yīng)該是離開(kāi)USB的標(biāo)準(zhǔn)。早前，蘋(píng)果在連接器比如Lightning接口中內(nèi)置了一些身份驗(yàn)證的芯片，雖然主要是為了保護(hù)蘋(píng)果有利可圖的授權(quán)業(yè)務(wù)，同時(shí)也提供了強(qiáng)大的硬件安全。這種硬件安全對(duì)于開(kāi)放的USB來(lái)說(shuō)，不可能發(fā)生的。值得注意的是，雖然蘋(píng)果要求所有的充電器需要把身份驗(yàn)證芯片與防篡改固件綁定，但是當(dāng)這樣的接口面對(duì)舊設(shè)備的時(shí)候，它又變得很脆弱了，因?yàn)楹诳涂梢园裊SB設(shè)備偽造成老一代的USB，然后進(jìn)行病毒感染。

總結(jié)來(lái)說(shuō)，要避免USB–C帶來(lái)的風(fēng)險(xiǎn)或者BadUSB的攻擊很簡(jiǎn)單，拒絕使用一切不屬于你的USB接口。當(dāng)然，用這種簡(jiǎn)單粗暴低級(jí)的安全手段，簡(jiǎn)直是侮辱了科技的進(jìn)步。換句話來(lái)說(shuō)，雖然新接口帶來(lái)了便捷，但是代價(jià)是需要時(shí)刻擔(dān)憂哪些充電器是否值得信任。這是不是一種進(jìn)步呢？不管怎么說(shuō)，要好好保護(hù)你的充電器。

via：theverge

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。