誰都知道，U盤是傳播電腦病毒的一大重要途徑，雖然現在的殺毒軟件基本上都具有主動掃描U盤安全風險的功能，但事實證明這樣的防護顯然也不是天衣無縫的。在前日開幕的2014黑帽技術大會上，兩位來自德國的安全研究員就演示了如何修改USB主控固件，將各種USB設備(不僅僅是U盤)改裝為黑客工具，然后控制/監控PC獲取用戶信息。

USB設備的“黑暗面”

安全研究人員Jakob Lell演示：他將一個U盤插入到Windows電腦中，U盤被識別，但不久后，它開始控制USB鍵盤開始輸入命令，遠程下載木馬。你可能在不少電影中看過U盤侵入，但這樣利用沒有存儲且隱藏任何文件(木馬病毒)的空U盤完成攻擊的方式，應該是第一次吧。

顯然，這是一個非常大的安全漏洞。看看你周圍的鼠標、鍵盤、U盤、攝像頭甚至是手機吧，它們都使用了USB接口，也就是說它們都有內置主控芯片，這樣黑客只要能夠修改固件，他們就可以控制任何人的電腦，沒錯，實際上就是這么簡單。

在之后的演示中，兩位研究人員又相繼進行了自我復制(感染其他USB設備)、盜取密碼、感染BIOS等操作，甚至一款Android手機，都可以成為攻擊的來源。

如何防止此類USB設備？

對于用戶來講，研究人員表示，唯一有效的方法就是禁用計算機的USB端口，但這顯然是不可取的。

還有另外一種方法就要看USB設備的生產商了。廠商可以通過阻止惡意固件的數字簽名，來防止主控被篡改，但通常安全加密功能很難應用在小型控制器上，所以眼下也是不現實的。最后一個可行性較高的想法是，在USB設備出廠時就將固件更新禁用掉，以阻止入侵行為。

在USB應用漫天飛的當下，USB設備的安全問題必須提上日程，引起你我的高度重視。