close
資訊保安

USB 被揭重大漏洞!所有 USB 介面無一幸免

在科技發展日新月異的時代下,各種漏洞各位 unwire.pro 的讀者大概都會略有聽聞。被揭發的漏洞大多都只會影響及針對部分行業 / 專業人士,但是次由兩位資訊保安專家 Karsten Nohl 及 Jakob Lell 揭發,處於 USB 運作程式碼的漏洞則影響所有使用此介面的用戶 – 基本上是所有電腦用戶。

usb_cable

 

程式碼出現先天缺陷

Nohl 與 Lell 近日在對 USB 驅動程序進行逆向研究的過程中發現,因程式碼「先天缺陷」而產生的漏洞,此漏洞可讓黑客控制 USB 介面與外界的通信,更可在我們多年來沿用的 USB 介面中植入各種惡意軟件,並於用戶不經不覺地感染及控制用戶的電腦,甚至將用戶電腦導向網絡,進行不法活動

此漏洞除影響日下常見的 USB 儲存裝置如外接硬碟、「手指」外,透過 USB 介面連接的鍵盤、滑鼠及 Android 裝置等常見的電腦周邊設備均牽涉其中,可見漏洞的嚴重性。

Nohl 與 Lell 指此漏洞最駭人的地方為因為大家並無驅動程式軟件的可信樣板供參考,因此用戶及資安人員並無方法可得知手上的 USB 有否受到感染;即使被高手發現到 USB 中有異樣,亦無從修正。

除此之外,寄存在 USB 驅動裝置上的惡意軟件更可雙向傳遞,即惡意軟件可以由 USB 介面感染用戶電腦;亦可以從用戶受感染的電腦中走到另一款 USB 介面之中,擴散性極高,猶如電腦界的伊波拉。

現時 (與短期內) 並未有應付此漏洞的措施,現時大多資安人員均呼籲用戶改變其日常使用 USB 裝置的習慣;避免將自己的 USB 裝置連接到 100% 完全信任的電腦上,同時亦避免將未能完全信任的 USB 裝置連接到自己的電腦之中。此舉或會降低用戶日常使用的方便性,但卻可大大避免受其潛在風險威脅。

black_hat_security_conference

 

兩位資安人員將於 2/8 舉行的黑帽安全會議上展示,有興趣了解更多的讀者敬請緊貼我們 unwire.pro 未來的報導。

 

Source:WIRED

Tags : usb
Getter

The author Getter

Leave a Response