USB Type-C 接頭因在 MacBook 推出而引來眾人注目。而 Google 也跟進,在其新 Chromebook 也啟用。但是你知道 Type-C 潛藏的資安漏洞,卻讓你的電腦曝露在危險中嗎?
USB Type-C 接頭是依據 USB 3.1 規範實作的接頭,在蘋果新的 MacBook 上使用,成為第一個大規模使用 Type-C 的消費 3C。USB Type-C 上的資安漏洞 BadUSB,讓駭客能透過 USB 裝置感染電腦的 USB 韌體,源於 USB 硬體標準。由於要確保 USB 能夠在各種硬體都能連接運作,因此都會向下相容,造成惡意程式碼能夠透過 USB 感染電腦的韌體。即使 USB 隨身碟有內建的防護措施,電腦為了相容性問題難以預防有惡意程式的 USB 連線,進而感染。
BadUSB 的資安漏洞由 SRLab 的 Karsten Nohl 和 Jakob Lell 發現,並且在 2014 年的黑帽大會發表,展示如何實作。Nohl 表示不只有 USB 隨身碟,連 USB 滑鼠、鍵盤,也能重新程式化後變成惡意程式,侵入連接的裝置。最可怕的是能夠改變電腦的 DNS 設定,將網路連線導到特定網站。
BadUSB 並不只有 MacBook 會感染,而是跟 USB 向下相容的標準一樣,會感染所有 USB 裝置。實務上來看,意思是借個 USB 充電器就會感染了。
目前對 BadUSB 資安威脅,由於是感染韌體,無法輕易被防毒軟體偵測和清除。追根究柢的話,也許得動到 USB 標準了。
一般人要預防 BadUSB 威脅,只能確保充電、傳資料的 USB 線都自備。重要人物要提高警覺,不要隨意用不是自己買的 USB 線。由於 USB 接頭實在太普及了,因此有 The Verge 回應的網友說以後用 USB 接頭隔著「保險套」,另外的轉接頭接過,才能安心使用。
(首圖來源:molotalk CC BY 2.0)
相關連結
更多關於 瑞霖 陳 的文章 (所有文章)
- Reddit 終於推出自產的官方 App - 2016-04-10
- Google 發佈 Cardboard SDK,方便第三方提供 VR 內容 - 2016-04-01
- Nest 更新加入家庭帳號功能,聰明判斷家裡是否有人 - 2016-03-14
