压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　好消息是，前兩個(gè)月曝出的USB設(shè)備漏洞只存在于一半現(xiàn)有的USB設(shè)備中。壞消息則是，幾乎沒有辦法知道是哪一半設(shè)備，除非把每一個(gè)USB設(shè)備都打開一次。

　　上 周三在東京召開的PacSec安全會(huì)議上，BadUSB漏洞的發(fā)現(xiàn)者德國人Karsten Nohl，提交了此漏洞的新發(fā)現(xiàn)。Nohl與另外兩位研究人員一起分析了全球最大的八個(gè)廠商的USB控制芯片，結(jié)果發(fā)現(xiàn)：大約有一半的芯片可以免遭攻擊， 但對(duì)于普通用戶來說，如何得知他的USB設(shè)備是否有漏洞實(shí)際上是不可能的。

　　“并不是把U盤插入計(jì)算機(jī)，它就能告訴你，這是Cypress的芯片或Phison的芯片，”Nohl表示，“你只能把它打開，然后自己去做分析……可怕的是，我們無法給出安全設(shè)備的列表。”

　　Nohl在今年8月份的黑帽大會(huì)上提交了BadUSB，利用了USB控制芯片的固件可以被重新編寫的漏洞。由于是芯片本身的問題，因此可以隱形的在計(jì)算機(jī)上傳播，防病毒軟件無法檢測到。它還可以冒充鍵盤，給計(jì)算機(jī)輸入指令。

　　Nohl的研究團(tuán)隊(duì)測試的8個(gè)芯片廠商分別是：Phison， Alcor， Renesas， ASmedia， Genesys Logic， FTDI， Cypress和Microchip。他們查看了各個(gè)芯片版本的說明書，插在計(jì)算機(jī)上測試并重寫固件。

　　他 們發(fā)現(xiàn)有的芯片可以被重寫，如臺(tái)灣廠商Phison。有的則不能，如ASmedia。而另一家臺(tái)灣廠商Genesys的USB2標(biāo)準(zhǔn)無法重寫，但更新的 USB3標(biāo)準(zhǔn)卻又可以重寫。另一些類型的USB設(shè)備如集線器、鍵盤、攝像頭和鼠標(biāo)等，結(jié)果更是混亂。有的有漏洞，有的沒有，還有的不確定。

　　這些發(fā)現(xiàn)已經(jīng)遠(yuǎn)遠(yuǎn)超過當(dāng)初的研究，Nohl一開始只測試了全球市場份額最大的Phison。（微信關(guān)注“信息安全知識(shí)”，回復(fù)“usbchip”可查看所有芯片的測試報(bào)告地址）

　　問題在于Nohl的測試數(shù)據(jù)對(duì)消費(fèi)者并無幫助，USB設(shè)備上可沒有“Intel Inside”的標(biāo)識(shí)。而且即使是相同USB設(shè)備中的芯片也經(jīng)常更換，這主要取決半導(dǎo)體供應(yīng)商不同時(shí)期給的價(jià)格而定。今年早期的一個(gè)分析發(fā)現(xiàn)，金士頓使用了6種不同公司的USB芯片。

　　也 就是說，要想對(duì)付BadUSB，設(shè)備廠商需要在他們的產(chǎn)品上注明使用的芯片。即使廠商愿意這樣做，也需要建立一個(gè)標(biāo)簽機(jī)制。考慮到各種難度和害怕黑客攻擊 利用，Nohl才沒有發(fā)布概念性利用代碼。但另外兩名獨(dú)立研究人員，為了進(jìn)一步研究問題并推動(dòng)廠商解決問題，于上個(gè)月發(fā)布了概念性利用代碼。

　　至少有一個(gè)公司已經(jīng)行動(dòng)起來，USB設(shè)備廠商Ironkey要求任何芯片固件的更新都要有一個(gè)加密簽名，其他的廠商也應(yīng)該這樣做。

　　Nohl這次研究是為了反駁之前有人指責(zé)Nohl光盯著Phison一家廠商。有些人認(rèn)識(shí)到USB設(shè)備是不安全的，但有些人卻只認(rèn)為Phison芯片是不安全的。“后者應(yīng)該清醒過來，與前者保持同等的意識(shí)，因?yàn)槲ｋU(xiǎn)到處都在，”Nohl如是說。