對于今年早些時候曝光的致命USB漏洞“BadUSB”,兩位研究人員近日對其進行了“反向工程”,并公布了相關代碼,此舉可能使BadUSB漏洞的危害性變得更大。
7月份,研究人員卡斯滕·諾爾(Karsten Nohl)和賈科布·萊爾(Jakob Lell)曾宣布發現一個名為“BadUSB”的嚴重漏洞,允許攻擊者在不被檢測到的情況下悄悄在USB設備中植入惡意軟件。
更糟糕的是,目前似乎并沒有明確的修復方法。任何插入USB存儲設備的用戶,都相當于向攻擊者敞開了大門,因為這段糟糕的代碼已經被固化在固件里。諾爾說:“人們無法判斷病毒的來源,就像被施了魔法一樣。”
幸運的是,諾爾和萊爾并未發布相關代碼,才使得整個行業有時間來為“沒有USB的世界”做好準備。但本周,這一局面被徹底打破。
在DerbyCon黑客大會上,兩位安全研究人員亞當·考蒂爾(Adam Caudill)和布蘭頓·威爾森(Brandon Wilson)稱,他們已對BadUSB進行了“反向工程”(reverse-engineered)。他們在GitHub上發布了相關代碼,并演示了多種用途,包括攻擊并控制目標用戶的鍵盤輸入。
考蒂爾稱,他們發布源代碼的動機是向制造商施壓。他說:“如果你不向全世界證明這件事可以輕易做到,那么制造商就會拖著什么都不做。因此我們必須要證明,這種攻擊是切實可行的,且任何人都能做到。”
但是,此舉并的“凈效應”并不能推動USB安全。因為黑客可以對USB固件進行重新編程,反而使其威脅性更大。修復該漏洞的唯一方案是在固件上打造一個全新的安全層,但這需要對USB標準進行全面更新,也就意味著這種不安全性將持續數年。
京公網安備 11010502049343號