微波EDA网,见证研发工程师的成长!
首页 > 通信和网络 > 通信网络业界新闻 > 有关USB的安全疑虑不攻自破

有关USB的安全疑虑不攻自破

时间:08-12 来源:embedded 点击:

最近有很多媒体都在关注SR实验室Karsten Nohl和Jakob Lel的一项研究,这项研究试图证明USB设备可能是把恶意软件引入到计算机和便携式电子平台的一种路径。

这项研究表示,目前还没有有效的方法能防止这种情况的发生。同时他们还强调,USB这种致命的缺陷让很多计算机用户使用USB存储器之后,信息安全就无法得到保障了。

两位在柏林的研究人员用一个已经完全格式化的USB存储器进行病毒扫描,却还是发现了藏在接口集成电路固件内的恶意代码。

SR实验室表示应该让USB驱动器和其他USB配件退出市场,"企业应该完全停止使用此类产品"。他们甚至建议结束USB作为数据传输介质的使用,尽管目前全球超过60亿设备在使用USB。

这是一个大胆而荒唐的声明。事实上,USB根本没有这么大的危险,目前的恶意代码都是通过数据传输的过程传播的,比如通过无线通信(蓝牙或者无线)以及internet连接的其他手段。

SR实验室的研究强调,在现代社会,网络攻击越来越危险,每种网络安全隐患都应该尽快消灭,但这并不意味着USB的时代结束了。

可以看到,通常都是带微控制器的产品才有固件被操控的风险,有些是重新编程让微控制器执行一些额外功能。只要设备制造商在制造外围设备时选择更优秀的人才,就能大大减轻这种被操控的风险。

SR实验室的研究人员表示"没有有效的方法防御来自USB的攻击",这其实是不客观的。一些半导体制造商在USB工艺中已经有了成熟的技术来防范这些问题。这里说的是USB桥接芯片,不包括大容量存储器。

桥接芯片不能由用户自定义,这些IC是依赖于固定功能的ASIC实现,因此恶意代码无处放置,通信所有过程都在在硬件中完成。

一些集成电路组合芯片用的是小型EEPROM内存资源,仅仅能用于存储,没有恶意软件运行的空间。基于此USB桥接芯片无法重新编程,因此也没有被损坏的可能。供应商也需要一个特定的FTDI驱动程序或者API来进行访问芯片。

目前还有一些USB芯片是基于硬件架构而不是微处理器进行重组,理论上这是不可能的。上述研究很明显忽略了技术细节,比如如何采取措施通过制定的IC,因此整个事件只是一个自我炒作宣传,并不是真正从公众利益考虑。

我们应该重视这件事,对于那些IT安全领域的企业,一直以来都有这种夸大其词,哄骗消费者来买新的软件包的风气。问题是危言耸听的策略常常会让人们反应过度,甚至适得其反。

Copyright © 2017-2020 微波EDA网 版权所有

网站地图

Top