USB 出现巨大安全漏洞：不要用陌生人的U盘

今年7月，研究员Karsten Nohl和Jakob Lell在拉斯维加斯的黑帽安全大会上宣布他们找到一个名为BadUSB的重大安全漏洞，这一漏洞让黑客可 以偷偷往设备上传输恶意软件，同时不被发现。更糟糕的是，目前还找不到能修复这一漏洞的方法。所有的U盘在使用时都存在风险，而且由于出现问题的代码存在 于USB固件中，如果不对整个系统进行重新设计，就无法修复漏洞。唯一的好消息是，Nohl和Lell当时没有把代码公布，所以我们暂时还有应对的时间。

但 是现在现在代码已经被公布了，就在本周，在DerbyCon的一个讨论会上，Adam Caudill和Brandon Wilson宣布他们成功对BadUSB进行了反向编程。他们把代码公布到GitHub，并展示了它的好几个用途，包括通过攻击来控制用户的键盘。 Caudill表示他们公布代码的目的给制造商压力。“只有那些预算充足的人才会去做这件事，制造商是肯定不会的，”他对Wired的Andy Greenberg说道。“你需要向世界证明这是很现实的事，任何人都会做。”

不过他们的行为仍然很难推动USB的安全发展，因为只要黑客可以对USB固件进行改编，这种攻击就仍然是一个巨大的威胁。对这一漏洞进行修复的唯一 方法就是在固件周围加上一个新的保护层，但这就意味着需要更新整个USB标准。不管厂商们如何应对，在未来很长一段时间，我们都会暴露在这一漏洞带来的威 胁之下。

你每一次使用U盘，都将是一次有安全风险的行为。保护自己的唯一办法就是不用它，特别是陌生的U盘，乱插U盘就像滥交一样，染病的风险大大增加。

这次的USB漏洞很难修复，不过我们本就不像以前那么依赖USB设备了，特别是U盘，越来越多人转向了云存储。或许这会成为推动云发展的一个契机。