社交账号登录

社交账号登录

0/34

上传头像

拖拽或者缩放虚线框,生成自己满意的头像

头像

预览

忘记密码

设置新密码

智能

别再用了,U 盘安全止于今天

崔绮雯2014-08-01 20:25:00

U 盘有病毒大家都知道,但最新研究表明,USB 里面有一种病毒是根植于芯片漏洞中。普通的扫描病毒扫不出来,也无法删除,连格式化也不管用。

注意了,最新的研究表明 USB 真的不能乱用,因为有问题的并不只是恶意软件(Malware)了,而是内部硬件芯片漏洞。可怕的是,杀毒软件、格式化都对此漏洞无效,不怀好意的黑客们可以利用此漏洞攻击你的电子设备,操控你的键盘或者是监视你的一举一动。

安全咨询公司 SR Labs 的两位研究者 Karsten Nohl 和 Jakob Lell 准备在下周公布一份研究报告,并且现场演示他们开发的 BadUSB 恶意软件。这种恶意软件可以直接操控用户的 PC,而因为这种 USB 恶意程序存在于硬芯片中,所以 BadUSB 无法被删除和格式化。

USB 一直以来存在硬件漏洞究竟有多可怕?

Karsten Nohl 和 Jakob Lell 研究发现,基本上所有的 USB 硬盘中都存在一种控制芯片,可以让 USB 设备与 PC 传输信息,而这种控制芯片还可以进行重新编程,隐藏攻击代码。

“你把 USB 给公司的 IT 部门清理,他们会扫描并且删掉里面的文件,然后说已经清理完毕。” Karsten Nohl 强调,除非这些 IT 技术人员有工程技术能够检查 USB 的固件,那么日常杀毒软件的扫描程序是无法触碰到这种基于芯片的恶意攻击的软件。

这些基于硬盘芯片的漏洞而生的恶意软件的“攻击范围”如何?Jakob Lell 称,除了电脑、手机、平板等电子设备之外,任何带有 USB 接口的外设都不会放过,也就是说,你的鼠标、键盘等设备都处在危险之中。

被这些 USB 恶意软件的感染后,你的电脑和手机会怎样?这是 Karsten Nohl 总结的一些例子:

  • 自己启动键盘,在后台敲代码;
  • 短信、电话甚至应用使用等,都会被记录在案;
  • 挟持电脑的 DNS,控制流量。

你以为不打开 USB 里面的可执行文件就能幸免于难?这依然无法阻挡 BadUSB 的运行:只要将 USB 插进电脑,利用芯片漏洞就能写出恶意软件在 PC 上运行,这个过程中用户毫不知情,而且,就如一般的恶意软件的感染方式,只要你的电脑或者 USB 含有而已代码,那么所有和这两个设备接触的电子设备都会中招。

宾夕法尼亚大学的计算机科学教授 Matt Blaze 称,这种来自 USB 的而已攻击很可能已经用于美国的 NSA 计划。去年,斯诺登曾经公布过一个名为 Cottonmouth 的恶意软件,也是通过 USB 插入电脑进行信息收集工作,但是具体的攻击机制没有被公开,暂时不能确认是否是利用 USB 的硬件漏洞。

简单的来说,这种基于芯片漏洞的 USB 恶意软件,能够对你的电脑做任何事情。

像对待一次性注射器一样对待 USB

怎么解决这个问题?根据 Karsten Nohl 和 Jakob Lell 的说法是,除非 USB 的生产厂商能够从硬件开始改进,不然,目前从纯粹软件的角度不能修复。

所以说,免除攻击的最好方法是,不要用 U 盘!

Karsten Nohl 称,尽管 USB 用起来很方便,但是人们需要转换思维,将 USB 当成是如一次性注射器一样的产品。因为谁也不知道,传到你手中的 USB 到底有没有问题。而对于公司来说,商业用户的 USB 也应该十分警惕,例如智能在公司的电脑上用同一个牌子的 USB,而且 USB 只能在公司范围内使用。


题图来自:redorbit

喜欢这篇文章?去 App 商店搜 好奇心日报 ,每天看点不一样的。