近日,一种名为“BadUSB”的USB接口安全漏洞被发现。利用该漏洞,黑客可远程窃取用户电脑的敏感信息,该漏洞将影响全球数十亿USB设备。360安全专家提醒广大用户,应尽快采取相应的安全措施进行防御。
位于柏林的SR安全研究实验室专家近日发现了一个代号“BadUSB”的重大USB安全漏洞—USB接口控制器芯片固件可以被重新编程,用于恶意用途,而最糟糕的是,这种重新编程行为几乎无法被察觉和侦测。
如今的USB接口功能出奇的丰富,几乎无所不能,但是安全性却一直被忽略。代号“BadUSB”的安全漏洞曝光后,USB成了世界上最危险的数据接口,用户甚至不能在电脑和手机上插入任何USB设备,包括U盘、USB键盘、USB鼠标等等。
由于USB接口控制器芯片的固件(程序)未写死,导致芯片固件可以被第三方重新编译。黑客可以将恶意代码编译到芯片上,然后将芯片植入到U盘、鼠标、键盘、网卡等USB设备中。将这类集成恶意代码的USB设备插入用户电脑,黑客就可以远程入侵电脑,在用户电脑上进一步安装恶意软件进行控制,并窃取用户电脑上通讯录、邮件乃至账号密码等。
最可怕的是,此次发现的USB安全漏洞短期内无法修复。目前全球已经有数十亿个USB设备,其中任何一个设备都有可能被改写了芯片固件。
360安全专家安扬提醒广大用户,采取以下措施可以进行有效防御:一定要去正规渠道购买USB鼠标、键盘、存储U盘等设备,不随便将USB等设备借给陌生人,不在没有安全软件的电脑上插拔USB设备。
安扬表示,政府和企业用户可能是该漏洞攻击的主要目标。他提醒相关政企单位的网管负责人,360企业版或360天擎具有“白名单”功能模块,开启该配置后,单位电脑将只允许白名单内的USB设备进行插拔和运行,可以有效防御USB接口漏洞的攻击。