關於蘋果 USB–C 你不知道的安全問題
在3月9日的發佈會上,蘋果推出了new MacBook,順便帶來了多合一的USB–C接口。緊接着Google就發佈新款Chromebook Pixel,也配備了USB–C。這種節奏,似乎告訴我們在不久的將來,USB –C將會成為標配。
當然,USB–C有它強大之處才會征服蘋果Google,比如體積小、不分正反、傳輸性能高、功率高可作電源接口以及集成更多功能性接口。但是它也又不好的地方,比如通用性差,只能進行一項工作即你在充電的時候,就別想用這個接口做點別的事情。不過這些細節問題遠不及該接口的安全問題來得嚴重。
USB–C潛在風險
USB–C是基於USB標準的接口之一,它容易受到惡意固件的攻擊和入侵。此外,研究人員還擔心該接口通過直接內存訪問DMA進行入侵。以上這些bug都不是新事物,但是這些潛在的危險在一個萬能的接口中,不可不説是一件恐怖的事情。以前,如果有用户擔心USB病毒入侵,就會進行接口檢查或者直接扔掉買新的,如今只有一個接口,而且還是作為電源接口,因此,不能像以前那麼自由,尤其在這個接口上搭載一些惡意程序,這是一個很嚴重的後果。
BadUSB攻擊方法
在2014黑帽大會上,出現一種叫BadUSB的攻擊方法,讓惡意軟件通過USB設備滲透到網絡中,即使扔掉感染的USB設備,還會通過受害者電腦的USB端口來傳播病毒,這種攻擊方法讓USB安全以及USB相關的設備(包括具有USB端口的電腦)都陷入風險中。儘管我們知道如何保護外設設備免受攻擊,比如在UBS中內置保護功能,但是電腦就很難避免了。因為電腦普適接受USB接口,即使這個USB內置了保護功能,那個可能就沒有了。
根據最近的報道,蘋果允許第三方充電器支持 USB–C接口。這將意味着,將會有更多受感染的USB接口和相關設備。試想一下,使用BadUSB的攻擊方法,加上多合一的USB–C接口,每插拔一次就進行一次病毒傳播,這種場景讓人毛骨悚然。
USB–C不能破解BadUSB
儘管USB–C的優勢多多,安全專家表示,它還不能破解BadUSB的攻擊。BadUSB的研究者Karsten Nohl表示,USB–C接口多功能性以及額外的開放性,讓它面臨更多的攻擊界面(attack surface)。即使這是新的接口,也沒能應對BadUSB的攻擊。從某種程度説,USB的開放標準是必要的,它不僅能向後兼容,也向第三方開放標準。比如,你用USB–C的適配器來兼容老的USB設備,老的軟件仍然支持USB–C。即使是像蘋果Google那樣的巨頭也需要遵守USB的協議標準,只有這樣才能維持整個USB生態的穩定,但是,這種穩定的代價就是用户需要面臨的安全漏洞的風險。
具體來説,就是new MacBook和Chromebook Pixel的用户需要面臨一種稱之為“借充電器”的攻擊風險。雖然新的接口USB–C沒有BadUSB病毒的固件,但是不懷好意的黑客會自己安裝,然後通過在咖啡廳找目標,用新接口幫你充電或者傳輸數據什麼,總會找到理由的。
保護好你的充電器
從整個生態系統的水平上去修補這種安全漏洞,似乎不太可能。也不會出現憑藉一個公司的力量可以改變龐大的USB聯盟。最實際的方式應該是離開USB的標準。早前,蘋果在連接器比如Lightning接口中內置了一些身份驗證的芯片,雖然主要是為了保護蘋果有利可圖的授權業務,同時也提供了強大的硬件安全。這種硬件安全對於開放的USB來説,不可能發生的。值得注意的是,雖然蘋果要求所有的充電器需要把身份驗證芯片與防篡改固件綁定,但是當這樣的接口面對舊設備的時候,它又變得很脆弱了,因為黑客可以把USB設備偽造成老一代的USB,然後進行病毒感染。
總結來説,要避免USB–C帶來的風險或者BadUSB的攻擊很簡單,拒絕使用一切不屬於你的USB接口。當然,用這種簡單粗暴低級的安全手段,簡直是侮辱了科技的進步。換句話來説,雖然新接口帶來了便捷,但是代價是需要時刻擔憂哪些充電器是否值得信任。這是不是一種進步呢?不管怎麼説,要好好保護你的充電器。
via:theverge
資料來源:雷鋒網
作者/編輯:橙太白