最近SRLabs的两位研讨人员 Karsten Nohl 和 Jakob Lell 所发布的研讨陈说受到了许多媒体的重视。这份研讨陈说企图证明 USB 设备怎么成为歹意软体进入电脑和可携式电子渠道的一种潜在手法。该研讨陈说并暗示,现在还没有避免这种特定缝隙的任何有用方法。
尽管这份陈说并未形成惊惧,但其语带寻衅地谈论指称 USB 具有「致命性缺点」,因而运用者只需在电脑和可携式电子设备刺进一个 USB 随身碟后,这些设备和内容将不再牢靠。这些谈论显然是不切实际的,业界需求更理性地全面看待这个问题。
在柏林的这两位研讨人员从前展现证明, USB 随身碟即便通过格式化和病毒扫描,使其从表面上看起来内容是彻底空白的,但事实上依然具有未能检测出的歹意程式码,这些歹意程式码或许隐藏在介面晶片的韧体内。
依据两位研讨人员的研讨暗示, USB 随身碟和许多其他 USB 配件行将走向止境,并且估计未来的一切商务活动应停止运用 USB 。他们乃至以为,尽管 USB 的运用十分广泛(全世界有超越60亿 USB 埠正进行作业中),但依据这项研讨结果, USB 作为一种材料传输介质的年代基本上现已完毕了。这是一种斗胆以及彻底没有依据的陈说。事实上,相较于其他任何材料传输方法,如无线通讯(蓝牙/ Wi-Fi )或网际网路衔接, USB 并未曝露于更大的歹意进犯风险之下。
尽管SRLabs所进行的研讨着重,现代社会中的每一个元素其实都遭受到越来越风险的网路进犯,但这当然不表明 USB 的时日现已寥寥无几。值得注意的是,关于韧体易于遭受这种歹意操作的顾忌一般会集在根据微操控器(MCU)的产品上——为了履行一些不必要的额定功用,常常或许对设备的 MCU 单元进行从头编程规划。尽管这种歹意操作常常套用在市面上的一些 USB 介面IC,但只需出产USB周边设备的OEM在产品规划中挑选整合质量更好的USB介面IC,就能大幅地减轻这种要挟。
SRLabs的研讨人员乃至揭露表明,现在还没有有用防备 USB 进犯的方法,但这个说一点都不正确。某些服务于 USB 商场的现有半导体制造商现已找到经验证可行的技能,可以有用战胜这些问题。这些技能包含供货商级的 USB 接器晶片,而不只是以往的消费级随身碟。
FTDI Chip公司供给的 USB 桥接晶片正归于供货商级,而非随身碟级的记忆体(很多贮存区)。该元件级产品无法客制化作为一种可代替的元件类型。由于这些晶片规划选用硬线衔接(取决于固定功用的 ASIC 建置),其间并未选用任何韧体,因而不或许会有歹意程式码被植入,一切的通讯操控也彻底透过硬体完结。
在FTDI Chip产品组合中的一些晶片使用少数的 EEPROM 记忆体资源,但这只是针对贮存设定,缺少满足的空间包容任何方式的歹意软体。鉴于一切这些特性,FTDI Chip的USB桥接晶片除了完结开始规划时的功用以外,不或许被从头程式规划,因而避免了它被歹意操作的或许性。由于这些晶片归于供货商级,假如需求存取这些晶片时,需求特定的FTDI驱动程式/应用程式介面(API)。
因而,除了那些根据 MCU 的架构以外,现在商场上还有根据硬体状态机架构且无法重编程的现成可用 USB 晶片。上述研讨疏忽了业界怎么采纳办法战胜这类问题的细节,使其得以证明这一整件事只考虑到自我宣扬,而并未顾及公共利益。
关于IT安全范畴的人来说,这种透过宣扬噱头来招引大众的重视再寻常不过了,其意图往往是仅服务于他们自己的意图。业界一向有一种倾向——透过言过其实(一般很难知道本相)来诈骗人们出资于其新的套装软体等。但问题是,在许多情况下,诉诸骇人听闻的战略或许导致反响过度。
Fred Dart是FTDI Chip公司创办人兼履行长,该公司首要出产电脑衔接器晶片,特别是 USB 晶片,Fred Dart最近并推进该公司进军绘图操控器与微操控器商场。Fred Dart具有英国斯特拉斯克莱德大学(University of Strathclyde)电子与电气工程学理学士学位。结业后,他曾任职于摩托罗拉(Motorola)和STC公司。在建立FTDI曾经,Fred Dart曾在Computer Design Concepts Limited规划公司从事谘询事务。
