智能手机成钓鱼网站新目标

近日,Android平台曝出短信钓鱼漏洞,如果你下载了一款受...[详情]

互联网及手机安全使用手册

2011年绿色网络之旅活动互联网及手机安全使用手册下载...[详情]

信息诈骗不完全手册

犯罪分子利用手机短信实施诈骗的手段可谓花样翻新,其中一些还颇...[详情]
 您所在的位置:中国网民文化节 > 绿色网络之旅 > 网络安全 > USB接口爆灾难性安全漏洞 影响全球数十亿设备

USB接口爆灾难性安全漏洞 影响全球数十亿设备

2014-08-04 16:48:27  来源:明朝万达


    位于柏林的SR安全研究实验室专家近日发现了一个代号“BadUSB”的重大USB安全漏洞——USB接口控制器芯片固件可以被重新编程,用于恶意用途,而最糟糕的是,这种重新编程行为几乎无法被察觉和侦测。

  过去安全专家们一再强调的是对U盘使用的管理,而代号“BadUSB”的安全漏洞曝光后,USB成了世界上最危险的数据接口,除非仅仅用于充电,原则上讲,你甚至不能在电脑和手机上插入任何USB设备,而不仅仅是U盘。

  USB遗留如此严重的安全漏洞的主要原因是负责USB标准组织——USB部署论坛长期以来重点发展USB的接口性能和功能性,而牺牲了安全性。

  如今的USB接口功能出奇的丰富,几乎无所不能,例如你可以将任何USB周边设备连入主机,这些都是通过USB类库和分类驱动实现的。所有USB设备都有一个类库,常见的如HID人机设备(例如键盘鼠标),无线控制(如蓝牙),以及大规模存储(例如U盘数码相机等)。在主机端(你的电脑或手机)的USB控制器的分类驱动负责管理不同类型的USB设备,这也就是为什么你随便插一个USB键盘到有USB host功能的设备上,都能直接使用而无需再安装驱动的原因。

  但问题也恰恰处在USB的控制器上,控制器的固件可以被重新编程,因此可以假冒其他类库。例如你可以将一个U盘伪装成网卡,你所有的网络通讯数据包括网络账户密码等都会被不知不觉地存入这个设备。

  更糟糕的是,你可以把U盘刷成键盘鼠标的类库,从而把预先存储的指令直接输入主机,这些指令可以用于安装恶意软件,重写其他USB设备的固件等。一夜之间,我们发现全世界的电子设备都面临类似飞客蠕虫的袭击。

  最可怕的是,此次发现的USB安全漏洞短期内无法修复,恶意软件扫描工具以及杀毒软件等根本查不到USB设备的固件。目前全球已经有数十亿个USB设备,其中任何一个设备都有可能被改写了固件,而除非你实现知晓问题设备所在,否则根本无从查起。