USB，很不安全？

為了防止病毒入侵，我們在使用 USB 設備時通常都會很小心。插入電腦后要先殺毒，發現不安全的內容殺毒也不放心，那就格式化……但是，你以為這樣就安全了嗎？USB 設備存在的安全隱患比我們想象中要嚴重的多。真正的威脅不是來自于這些設備儲存的內容，而是來自用來控制 USB 設備功能的“固件”。

計算機安全問題研究員 Karsten Nohl 和 Jakob Lell 最新的一項研究發現，USB 設備存在一個嚴重的安全漏洞。一種叫做 BadUSB 的惡意軟件會通過鼠標、鍵盤及U 盤等USB設備入侵個人電腦，篡改硬盤軟件。而且這種新型入侵方式，當前所有已知的安全保護措施都拿它沒轍。唯一的解決方式可能就是封住 USB 接口，永遠不要共享 USB 設備。

Karsten Nohl 和 Jakob Lell 長期從事 USB 設備安全問題研究，這一次他們沒有像往常那樣編寫惡意軟件代碼入侵 USB 設備的儲存器，以測試安全性能；而是把研究重點放在了 USB 設備中控制轉存功能的固件上。結果發現，通過編寫一定程序，黑客可以很容易將惡意代碼隱藏在固件內，殺毒軟件根本找不到。 Karsten Nohl 舉例到：當你將一款 USB 設備交給相關技術人員時，他們一般的做法是先進行掃描，然后刪除一些資料，最后把設備還給你，并告訴你已經安全了。但實際上，這種做法根本沒有辦法觸及到上述固件，就更別說找到病毒了。

也就是說，當被感染的設備插入計算機時，計算機上的防病毒軟件無法檢測到被感染，因為防病毒軟件只掃描寫入到存儲器中的軟件，并不掃描用來控制 USB 設備功能的固件。

此外，研究人員還指出，除了 U 盤這樣的存儲設備，像 USB 鍵盤、鼠標，甚至是 USB 線連接的智能手機等都會出現這樣的問題。Karsten Nohl 和 Jakob Lell 將被 BadUSB 入侵了的設備連接到電腦上進行實驗發現，通過撰寫命令，可以實現替換軟件、或者讓鍵盤自動打字等操作。

USB 設備會感染電腦，反過來，一臺被 USB 設備感染過的電腦又會將病毒帶入下一個 USB 設備。基于這一理論：任何插入電腦的 USB 設備，其固件都有可能被電腦中的惡意軟件入侵，而由于入侵的病毒根本無法監測出來，任何被感染的設備又都可以破壞電腦。也就是說，我們根本不可能安全地使用 USB 設備。賓夕法尼亞大學計算機科學教授 Matt Blaze 表示：這相當于是告訴我們，只要能接觸到別人的電腦 USB 接口，我們就可以對他的電腦進行破壞。

Matt Blaze 認為這項研究揭示了一個重大的安全隱患。他還推測，美國 NSA 有可能很早就知道了這個問題，并使用這種方式搜集過不少數據和資料。

Karsten Nohl 和 Jakob Lell 曾將此研究結果告知臺灣地區的 USB 設備制造商，提醒他們留意 BadUSB，不過對方多次否認說，這種入侵方式根本不可能。WIRED 在聯系 USB 應用論壇（USB Implementers Forum）后，相關負責人也只是發表聲明提醒消費者要提高安全意識。

在 Karsten Nohl 看來，短期內的確無法從技術上來解決 BadUSB 入侵的問題，所以當前的做法就是提醒 USB 設備使用者，一定要使用可信的電腦和可信的 USB 設備。

Karsten Nohl 和 Jakob Lell 將于下周在拉斯維加斯舉行的 Black Hat 黑客大會上演示這種新類型的黑客入侵，屆時會展示更多的相關細節。

（作者：高晨）