克里斯汀帕吉特(Christin Paget)写道:“你们在向你们其中一个平台发布SSL补丁时难道没有想到其他的平台?我在使用我的Mac电脑时,我随时都会受到攻击,而且我现在还只有眼睁睁地看着,什么也干不了。可爱的苹果,你他妈的在干什么??!?!!”
BadUSB
2014年被发现的最阴险的攻击并没有借助于任何软件中的任何安全漏洞,因此它也是无法通过补丁来修复的。这种攻击方式是谷歌研究员卡尔斯滕诺尔(Karsten Nohl)8月份在黑帽子安全大会上最早演示的,它依仗的是USB设备中固有的一种不安全因素。
因为USB设备的固件是可以被复写的,黑客可以编写出恶意软件悄悄地侵入USB控制器芯片,而不是安全软件通常在查毒时扫描的闪存。例如,一块U盘可能会包含一个无法被安全软件查出的恶意件,它会破坏U盘上的文件或者模拟键盘动作,悄悄地将各种命令注入用户的机器之中。
大约只有一半的USB芯片是可被复写的,因此就有一半的USB设备会受到BadUSB的攻击。但是由于USB设备厂商并没有公布它们使用的是哪家厂商的芯片并且经常更换供应商,因此用户不可能知道哪些设备会受到BadUSB的攻击。
据诺尔说,针对这种攻击方式的唯一保护方法是将USB设备当作“一次性注射器”一样使用,永远不要与他人共用或将它们插入不被信任的机器。
诺尔认为这种攻击方式会造成很严重的后果,因此他拒绝公开相应的验证概念代码。但是一个月之后,另一群研究员公布了他们自己通过反向推导得出的攻击代码,迫使芯片厂商解决这个问题。很难说是否有人利用那段代码发动过攻击,这意味着全球各地的人们使用的无数USB设备已经不再安全了。
关注天下网吧微信,了解网吧网咖经营管理,安装维护:
本文来源:不详 作者:佚名