USB的漏洞使Linux成為重災(zāi)區(qū)

USB接口可以看作是電子產(chǎn)品中最重要的輸入和輸出接口，并且在計(jì)算機(jī)、打印機(jī)、投影儀和其他設(shè)備中起著重要的作用。 但是，USB安全接口一直是隱藏的危險(xiǎn)。 與USB有關(guān)的安全事件很多：例如，2014年發(fā)現(xiàn)的BadUSB的主要安全漏洞使黑客能夠在沒(méi)有被發(fā)現(xiàn)的情況下將惡意軟件秘密傳輸?shù)皆O(shè)備，從而創(chuàng)建了所有USB連接，從而使設(shè)備處于危險(xiǎn)之中。

USB接口現(xiàn)在安全嗎?事實(shí)并非如此，由普渡大學(xué)的HuiPeng和瑞士聯(lián)邦理工學(xué)院洛桑分支的MathiasPayer領(lǐng)導(dǎo)的研究小組通過(guò)他們創(chuàng)建的新工具USBFuzz在不同平臺(tái)上發(fā)現(xiàn)了26個(gè)新的USB安全漏洞。

USBFuzz工具是一種用于測(cè)試現(xiàn)代操作系統(tǒng)的USB驅(qū)動(dòng)程序堆棧的新型模糊工具，他由多個(gè)應(yīng)用程序組成，可以幫助安全研究人員將大量無(wú)效、意外或隨機(jī)的數(shù)據(jù)輸入到其他應(yīng)用程序中。之后，安全研究人員分析被測(cè)軟件的行為，以發(fā)現(xiàn)新的bug，其中一些可能被惡意利用。

測(cè)試團(tuán)隊(duì)共發(fā)現(xiàn)26個(gè)新漏洞：在MacOS中中發(fā)現(xiàn)3個(gè)，其中兩個(gè)導(dǎo)致意外重啟，其中一個(gè)導(dǎo)致系統(tǒng)凍結(jié);在Windows8和Windows10中中發(fā)現(xiàn)4個(gè)，導(dǎo)致藍(lán)屏。Linux系統(tǒng)中存在18個(gè)USB漏洞，其中16個(gè)是針對(duì)Linux子系統(tǒng)的高風(fēng)險(xiǎn)內(nèi)存漏洞，另一個(gè)是針對(duì)Linux的USB。

對(duì)此，Peng和Payer表示，他們向Linux內(nèi)核團(tuán)隊(duì)報(bào)告了這些bug，并提出了補(bǔ)丁建議，以減輕“內(nèi)核開(kāi)發(fā)人員修復(fù)報(bào)告的漏洞的負(fù)擔(dān)”。同時(shí)，研究小組還表示，在18個(gè)Linux漏洞中，有11個(gè)自去年第一次報(bào)告以來(lái)收到了補(bǔ)丁。在11個(gè)bug中中，有10個(gè)接收到CVE，這是分配給主要安全漏洞的唯一代碼。