只有一半的USB設備無法打漏洞補丁,問題是沒人知道是哪一
責編:admin |2014-11-19 07:22:39好消息是,前兩個月曝出的USB設備漏洞只存在于一半現有的USB設備中。壞消息則是,幾乎沒有辦法知道是哪一半設備,除非把每一個USB設備都打開一次。
上 周三在東京召開的PacSec安全會議上,BadUSB漏洞的發現者德國人Karsten Nohl,提交了此漏洞的新發現。Nohl與另外兩位研究人員一起分析了全球最大的八個廠商的USB控制芯片,結果發現:大約有一半的芯片可以免遭攻擊, 但對于普通用戶來說,如何得知他的USB設備是否有漏洞實際上是不可能的。
“并不是把U盤插入計算機,它就能告訴你,這是Cypress的芯片或Phison的芯片,”Nohl表示,“你只能把它打開,然后自己去做分析……可怕的是,我們無法給出安全設備的列表。”
Nohl在今年8月份的黑帽大會上提交了BadUSB,利用了USB控制芯片的固件可以被重新編寫的漏洞。由于是芯片本身的問題,因此可以隱形的在計算機上傳播,防病毒軟件無法檢測到。它還可以冒充鍵盤,給計算機輸入指令。
Nohl的研究團隊測試的8個芯片廠商分別是:Phison, Alcor, Renesas, ASmedia, Genesys Logic, FTDI, Cypress和Microchip。他們查看了各個芯片版本的說明書,插在計算機上測試并重寫固件。
他 們發現有的芯片可以被重寫,如臺灣廠商Phison。有的則不能,如ASmedia。而另一家臺灣廠商Genesys的USB2標準無法重寫,但更新的 USB3標準卻又可以重寫。另一些類型的USB設備如集線器、鍵盤、攝像頭和鼠標等,結果更是混亂。有的有漏洞,有的沒有,還有的不確定。
這些發現已經遠遠超過當初的研究,Nohl一開始只測試了全球市場份額最大的Phison。(微信關注“信息安全知識”,回復“usbchip”可查看所有芯片的測試報告地址)
問題在于Nohl的測試數據對消費者并無幫助,USB設備上可沒有“Intel Inside”的標識。而且即使是相同USB設備中的芯片也經常更換,這主要取決半導體供應商不同時期給的價格而定。今年早期的一個分析發現,金士頓使用了6種不同公司的USB芯片。
也 就是說,要想對付BadUSB,設備廠商需要在他們的產品上注明使用的芯片。即使廠商愿意這樣做,也需要建立一個標簽機制。考慮到各種難度和害怕黑客攻擊 利用,Nohl才沒有發布概念性利用代碼。但另外兩名獨立研究人員,為了進一步研究問題并推動廠商解決問題,于上個月發布了概念性利用代碼。
至少有一個公司已經行動起來,USB設備廠商Ironkey要求任何芯片固件的更新都要有一個加密簽名,其他的廠商也應該這樣做。
Nohl這次研究是為了反駁之前有人指責Nohl光盯著Phison一家廠商。有些人認識到USB設備是不安全的,但有些人卻只認為Phison芯片是不安全的。“后者應該清醒過來,與前者保持同等的意識,因為危險到處都在,”Nohl如是說。
下一篇:JSRC的又一年