對(duì)于今年早些時(shí)候曝光的致命USB漏洞“BadUSB”，兩位研究人員近日對(duì)其進(jìn)行了“反向工程”，并公布了相關(guān)代碼，此舉可能使BadUSB漏洞的危害性變得更大。

7月份，研究人員卡斯滕·諾爾(Karsten Nohl)和賈科布·萊爾(Jakob Lell)曾宣布發(fā)現(xiàn)一個(gè)名為“BadUSB”的嚴(yán)重漏洞，允許攻擊者在不被檢測(cè)到的情況下悄悄在USB設(shè)備中植入惡意軟件。

更糟糕的是，目前似乎并沒(méi)有明確的修復(fù)方法。任何插入U(xiǎn)SB存儲(chǔ)設(shè)備的用戶，都相當(dāng)于向攻擊者敞開(kāi)了大門(mén)，因?yàn)檫@段糟糕的代碼已經(jīng)被固化在固件里。諾爾說(shuō)：“人們無(wú)法判斷病毒的來(lái)源，就像被施了魔法一樣。”

幸運(yùn)的是，諾爾和萊爾并未發(fā)布相關(guān)代碼，才使得整個(gè)行業(yè)有時(shí)間來(lái)為“沒(méi)有USB的世界”做好準(zhǔn)備。但本周，這一局面被徹底打破。

在DerbyCon黑客大 會(huì)上，兩位安全研究人員亞當(dāng)·考蒂爾(Adam Caudill)和布蘭頓·威爾森(Brandon Wilson)稱(chēng)，他們已對(duì)BadUSB進(jìn)行了“反向工程”(reverse-engineered)。他們?cè)贕itHub上發(fā)布了相關(guān)代碼，并演示了多 種用途，包括攻擊并控制目標(biāo)用戶的鍵盤(pán)輸入。

考蒂爾稱(chēng)，他們發(fā)布源代碼的動(dòng)機(jī)是向制造商施壓。他說(shuō)：“如果你不向全世界證明這件事可以輕易做到，那么制造商就會(huì)拖著什么都不做。因此我們必須要證明，這種攻擊是切實(shí)可行的，且任何人都能做到。”

但是，此舉并的“凈效應(yīng)”并不能推動(dòng)USB安全。因?yàn)楹诳涂梢詫?duì)USB固件進(jìn)行重新編程，反而使其威脅性更大。修復(fù)該漏洞的唯一方案是在固件上打造一個(gè)全新的安全層，但這需要對(duì)USB標(biāo)準(zhǔn)進(jìn)行全面更新，也就意味著這種不安全性將持續(xù)數(shù)年。