黑客或利用USB進行新型網(wǎng)絡(luò)攻擊
責(zé)編:admin |2014-08-01 14:04:05北京時間7月31日下午消息,一位頂級計算機研究人員周四透露,黑客可以利用鼠標(biāo)、鍵盤及拇指驅(qū)動器等USB設(shè)備入侵個人電腦。這是一種新型入侵方式,所有已知的安全保護措施都將無計可施。
德國柏林SR Labs的首席科學(xué)家卡斯滕-諾爾(Karsten Nohl)指出,黑客可以將惡意軟件下載至小型低成本芯片上來控制USB設(shè)備的功能,而USB設(shè)備并沒有內(nèi)置能夠抵御代碼被篡改的防火墻。
諾爾表示:“人們并不能判斷病毒的來源。就像施了魔法一樣。”諾爾的研究團隊因致力于揭露手機重大缺陷技術(shù)而聞名。
這一發(fā)現(xiàn)表明,微小電子元件上的軟件缺陷對普通計算機用戶而言是隱形的,一旦黑客知道如何利用這些,后果不堪設(shè)想。安全研究人員已經(jīng)越來越多的將注意力轉(zhuǎn)移到這些缺陷方面的研究。
諾爾表示,他的團隊已經(jīng)模擬了通過編寫惡意代碼到拇指驅(qū)動器和智能手機使用的USB控制芯片上來進行網(wǎng)絡(luò)攻擊。一旦USB設(shè)備連接上計算機,惡意軟件可以記錄擊鍵、刺探通信和破壞數(shù)據(jù)。
諾爾還透露,受污染的設(shè)備插入個人電腦時,電腦并沒有被檢測到被感染,因為防病毒程序只掃描寫入到存儲器中的軟件,并不掃描用來控制諸如USB這些設(shè)備功能的“固件”。
諾爾與SR Labs安全研究人員雅各布-萊爾(Jakob Lell)將于下周在拉斯維加斯舉行的黑帽(Black Hat)黑客大會上演示新類型的黑客入侵,其演示文稿的標(biāo)題為“USB中隱藏的黑暗殺手”(Bad USB – On Accessories that Turn Evil)。
數(shù)千名安全專家將聚集在此次年度黑客大會上聆聽最近的黑客技術(shù),包括威脅商業(yè)電腦、消費電子產(chǎn)品以及關(guān)鍵基礎(chǔ)設(shè)施等安全性的黑客技術(shù)。
諾爾表示,如果像美國國家安全局的情報機構(gòu)已經(jīng)找到了攔截通過USB進行網(wǎng)絡(luò)攻擊的方法,他將并不會感到吃驚。
去年,諾爾在黑客大會上演示的是遠(yuǎn)程入侵手機SIM卡的突破方法。去年12月,美國國家安全局前雇員斯諾登曾泄露的文件顯示,美國情報機構(gòu)之前使用過類似技術(shù)進行監(jiān)視,并稱其為“猴日歷”(Monkey Calendar)。
美國國家安全局拒絕對此置評。
SR Labs通過其主要制造商臺灣群聯(lián)電子公司(Phison Electronics Corp)制造的控制器芯片對該技術(shù)做了測試。他們將受污染的控制器芯片置于USB存儲驅(qū)動器中,智能手機運行的是谷歌Android操作系統(tǒng)。
類似芯片由慧榮科技股份有限公司(Silicon Motion Technology Corp)以及安國國際科技公司(Alcor Micro Corp)所制造。諾爾表示他的團隊沒有測試過這些制造商所生產(chǎn)的芯片。
群聯(lián)電子和谷歌沒有對置評請求予以回應(yīng)。慧榮科技和安國國際科技的官員尚未立即聯(lián)系。
除群聯(lián)電子以外,諾爾相信黑客有更多機會通過其它控制器芯片進行網(wǎng)絡(luò)攻擊,因為他們的制造商并沒有被要求進行軟件安全保障。諾爾指出,這些芯片一旦被污染,就很可能感染到通過USB連接的鼠標(biāo)、鍵盤和其它設(shè)備。
在諾爾的測試中,他可以通過USB指示計算機下載惡意程序(而這些指令,PC相信是由計算機鍵盤所發(fā)出的),來進行遠(yuǎn)程訪問計算機。他還能夠改變計算機上所謂的DNS網(wǎng)絡(luò)設(shè)置,指使計算機通過惡意服務(wù)器連接上網(wǎng)。
一旦計算機被感染,它可以通過編程來感染任何連接PC的USB設(shè)備,從而進一步破壞通過USB連接的其它任何設(shè)備。
諾爾說道:“所有USB設(shè)備皆被污染,而且病毒具有自我繁殖能力,持久性極強,永遠(yuǎn)別想刪除它。”
德國波鴻大學(xué)電氣工程專業(yè)教授克里斯托夫-帕爾(Christof Paar)審查該研究時表示,他相信該新研究能夠促使人們進一步了解USB技術(shù),并有可能揭示出更多的錯誤發(fā)現(xiàn)。他呼吁制造商能夠更好地保護芯片,挫敗任何攻擊。
帕爾說:“制造商應(yīng)致力于研究USB上運行軟件的更難以變更性。”
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧