USB漏洞代碼被公佈：威脅將持續多年

新浪科技訊 北京時間10月3日晚間消息，對於今年早些時候曝光的致命USB漏洞“BadUSB”，兩位研究人員近日對其進行了“反向工程”，並公佈了相關代碼，此舉可能使BadUSB漏洞的危害性變得更大。

7月份，研究人員卡斯滕·諾爾(Karsten Nohl)和賈科布·萊爾(Jakob Lell)曾宣佈發現一個名為“BadUSB”的嚴重漏洞，允許攻擊者在不被檢測到的情況下悄悄在USB設備中植入惡意軟件。

更糟糕的是，目前似乎並沒有明確的修復方法。任何插入USB存儲設備的用戶，都相當於向攻擊者敞開了大門，因為這段糟糕的代碼已經被固化在韌體裏。諾爾：“人們無法判斷病毒的來源，就像被施了魔法一樣。”

幸運的是，諾爾和萊爾並未發布相關代碼，才使得整個行業有時間來為“沒有USB的世界”做好准備。但本周，這一局面被徹底打破。

在DerbyCon黑客大會上，兩位安全研究人員亞當·考蒂爾(Adam Caudill)和布蘭頓·威爾森(Brandon Wilson)稱，他們已對BadUSB進行了“反向工程”(reverse-engineered)。他們在GitHub上發布了相關代碼，並演示了多種用途，包括攻擊並控制目標用戶的鍵盤輸入。

考蒂爾稱，他們發布原始碼的動機是向製造商施壓。他：“如果你不向全世界證明這件事可以輕易做到，那麼製造商就會拖什麼都不做。因此我們必須要證明，這種攻擊是切實可行的，且任何人都能做到。”

但是，此舉並的“凈效應”並不能推動USB安全。因為黑客可以對USB韌體進行重新編程，反而使其威脅性更大。修復該漏洞的唯一方案是在韌體上打造一個全新的安全層，但這需要對USB標準進行全面更新，也就意味這種不安全性將持續數年。(李明)