USB出现巨大安全漏洞-不要用陌生人的U盘
2014-10-07 10:12:37 
阿炯
2014年7月,研究员Karsten Nohl和Jakob Lell在拉斯维加斯的黑帽安全大会上宣布他们找到一个名为BadUSB的重大安全漏洞,这一漏洞让黑客可 以偷偷往设备上传输恶意软件,同时不被发现。更糟糕的是,目前还找不到能修复这一漏洞的方法。所有的U盘在使用时都存在风险,而且由于出现问题的代码存在于USB固件中,如果不对整个系统进行重新设计,就无法修复漏洞。唯一的好消息是,Nohl和Lell当时没有把代码公布,所以我们暂时还有应对的时间。但是现在现在代码已经被公布了,就在本周,在DerbyCon的一个讨论会上,Adam Caudill和Brandon Wilson宣布他们成功对BadUSB进行了反向编程。他们把代码公布到GitHub,并展示了它的好几个用途,包括通过攻击来控制用户的键盘。Caudill表示他们公布代码的目的给制造商压力。“只有那些预算充足的人才会去做这件事,制造商是肯定不会的,”他对Wired的Andy Greenberg说道。“你需要向世界证明这是很现实的事,任何人都会做。”
不过他们的行为仍然很难推动USB的安全发展,因为只要黑客可以对USB固件进行改编,这种攻击就仍然是一个巨大的威胁。对这一漏洞进行修复的唯一方法就是在固件周围加上一个新的保护层,但这就意味着需要更新整个USB标准。不管厂商们如何应对,在未来很长一段时间,我们都会暴露在这一漏洞带来的威胁之下。
每一次使用U盘,都将是一次有安全风险的行为。保护自己的唯一办法就是不用它,特别是陌生的U盘,乱插U盘就像滥交一样,染病的风险大大增加。这次的USB漏洞很难修复,不过目前已经不像以前那么依赖USB设备了,特别是U盘,越来越多人转向了云存储。或许这会成为推动云发展的一个契机。
上文源自:theverge/雷锋网
Mullvad 推出开源 USB 安全密钥
Mullvad 是一家总部位于瑞典的开源商业虚拟专用网服务提供商,成立于 2009 年。如今在涉足多年软件服务领域后,Mullvad 也准备开始涉足硬件安全领域。在2022年9月下旬举办的 Open Source Firmware Conference(开源固件大会)上,Mullvad 展示了一个全新的 USB 安全密钥 —— Tillitis Key。
根据官方介绍,Tillitis Key 可用于登录计算机和网站或进行数字签名等目的。从功能上来说,Tillitis Key 与 Yubikey 等 Fido2 解决方案有很多相似之处,但它也有非常独特的一面。
首先 Tillitis Key 是完全开源的,包括其中的软件和硬件,自然也包括它的 PCB 设计,正因如此,它也更加值得信任,而市面上其他安全密钥通常使用的都是闭源硬件。其次 Tillitis Key 使用了一个 "measured boot" 系统,当应用程序被加载到设备上时,它会测量安全应用程序。测量结果与唯一设备密钥(UDS)相结合,用于推导应用程序的密钥。
这样做的目的是,如果应用程序被修改了,那么得出的密钥也会发生改变。相反,如果得出的密钥与上次应用程序被加载到同一设备上时相同,则可以相信该应用程序没有被修改过。值得注意的是,如果应用程序获得了更新,Tillitis Key 是可以继续正常使用的,不过这也要取决于应用程序开发人员如何启用代码签名。更详细的信息可以查看 Tillitis Key 的代码仓库,其中包括 PCB 原理图、源代码等内容。