代号为「BadUSB」的 USB 漏洞具体是何情况,有多大危害? 余弦,在知道创宇黑客不神秘
看了 @时国怀 的回答,有不够严谨的地方(可能是站在开发者角度),虽然我也相信原文翻译有些错误、媒体炒作过于夸张,我下面会站在黑客角度去回答这个问题。
1. 《 USB接口爆灾难性安全漏洞,影响全球数十亿设备 》这篇文章我溯源了下,发现和本次正在拉斯维加斯如火如荼举行的 Black Hat 大会(Black Hat USA 2014)有关,演讲者的豪言壮语在这:
https://www.blackhat.com/us-14/briefings.html#badusb-on-accessories-that-turn-evil
表达的意思是:
USB 现在这种机制是有缺陷的,可以自己定制恶意的 USB 芯片,插入电脑后可以控制电脑,可以传播他们准备好的 USB 病毒。
2. 之后和 Black Hat 大会关系紧密的至少 8 家媒体做了预热报道,比如:
ZDNet 的报道:
BadUSB: Big, bad USB security problems ahead
WIRED 的报道:
Why the Security of USB Is Fundamentally Broken
然后可能就这样传播开了,媒体嘛,为了吸引眼球 + 自身没那么专业,放大报道也是可以理解的。
3. 我一直在关注这方面的攻防,今年初的时候天融信阿尔法实验室的朋友(冷风)在小范围做了这个分享,之后我看他们的官方博客(天融信阿尔法实验室)放出了研究细节(可以肯定是和谐了一些内容),我先来个摘录(文章写得很清晰,建议读完),这篇文章的结论是:具备实战意义。
不过不知道 Black Hat 这次的细节是什么(大会结束后,很快就可以知道了),不过我想大体是这个原理,可能升级的是一些猥琐的 Hacking 技巧:
看了 @时国怀 的回答,有不够严谨的地方(可能是站在开发者角度),虽然我也相信原文翻译有些错误、媒体炒作过于夸张,我下面会站在黑客角度去回答这个问题。
1. 《 USB接口爆灾难性安全漏洞,影响全球数十亿设备 》这篇文章我溯源了下,发现和本次正在拉斯维加斯如火如荼举行的 Black Hat 大会(Black Hat USA 2014)有关,演讲者的豪言壮语在这:
https://www.blackhat.com/us-14/briefings.html#badusb-on-accessories-that-turn-evil
表达的意思是:
USB 现在这种机制是有缺陷的,可以自己定制恶意的 USB 芯片,插入电脑后可以控制电脑,可以传播他们准备好的 USB 病毒。
2. 之后和 Black Hat 大会关系紧密的至少 8 家媒体做了预热报道,比如:
ZDNet 的报道:
BadUSB: Big, bad USB security problems ahead
WIRED 的报道:
Why the Security of USB Is Fundamentally Broken
然后可能就这样传播开了,媒体嘛,为了吸引眼球 + 自身没那么专业,放大报道也是可以理解的。
3. 我一直在关注这方面的攻防,今年初的时候天融信阿尔法实验室的朋友(冷风)在小范围做了这个分享,之后我看他们的官方博客(天融信阿尔法实验室)放出了研究细节(可以肯定是和谐了一些内容),我先来个摘录(文章写得很清晰,建议读完),这篇文章的结论是:具备实战意义。
不过不知道 Black Hat 这次的细节是什么(大会结束后,很快就可以知道了),不过我想大体是这个原理,可能升级的是一些猥琐的 Hacking 技巧: