問:有很多人都仍然用USB儲存裝置,由俗稱U盤的USB快閃記憶,到USB硬碟都有。近日有報道指,有黑客成功利用USB的漏洞,可以在作業系統或防毒軟件無法偵側的情況下,植入木馬偷取用家資料,這漏洞到底是什麼來的?
李建軍:這漏洞叫BadUSB,這漏洞是在今年黑客大會上,由兩位研究員提出的概念性漏洞。之後,各路專家為了找出漏洞源頭所在,以便解決問題,不斷編寫不同的實驗性質病毒,近日開始出現一些接近可行的漏洞出來。在這兩位研究員發表論文前,市場甚少關於USB技術漏洞的公開資料。
這漏洞恐怖在於,這利用USB裝置控制硬件操作的內置程式漏洞,令木馬可以神不知鬼不覺,利用硬件在作業系統內的高優先權,以及不受作業系統控制的特點偷取電腦資料。亦由於USB裝置不受到作業系統管轄,這令現有的防毒軟件未能偵測甚至消滅有關木馬。只要有人四處派發有問題的硬件,就足以引發嚴重保安問題。
問:在中國的情況下,像BadUSB一類的漏洞有可能傳播嗎?又會怎樣傳播?
李建軍:其實,中國的一些做假貨的人已經掌握不少USB的技術漏洞,像有不少曾經透過淘寶買了一些重量異常輕,又不能夠寫資料進內的大容量USB硬碟,後來發現那所謂的硬碟,只是很廉價的USB記憶手指假扮的。而中國那些假貨商人,便是透過USB硬件控制軟件的漏洞,藉此欺騙作業系統,讓作業系統誤以為那是貨真價實的硬碟,藉此欺騙用家。
在中國的情況,BadUSB一類漏洞最有可能傳播的地方,便是那些賣U盤的不知名商戶,因為本來有不少這類商戶,就掌握了USB硬件的技術漏洞,他們很容易製造出內置木馬的U盤。只此,只能在有信譽商戶購買未拆的U盤,甚至在香港買原廠正貨的U盤。
另一個可能讓BadUSB漏洞四處傳播的地方,可能是中國廠商製造,內置USB儲存能力的裝置,例如流動寬頻的USB裝置。因為中國的廠商以及電訊公司可能與當局合作,在當局指令下,替所有賣出的裝置安裝類似BadUSB的木馬。因此,像流動寬頻設備一類裝置,雖然現時避免買中國品牌的難度頗高,但仍然應避免買中國品牌,甚至改用手機分享互聯網的功能。只要你的手機並非中國廠商的產品,在安全程度上應比中國廠商制的流動寬頻產品來得好。
但在中國這個環境,更怕BadUSB在一些免費贈送的U盤上傳播,例如突然有某縣政府或某政府部門大規模派發U盤,那應對這些U盤加以注意,因為這有可能是利用群眾貪便宜心理的大規模植入木馬行動,有可能為了一點兒的小便宜,而令自己電腦的資料通通送到中國政府手中,這是相當得不償失。
問:那BadUSB的問題,有沒有解決希望?
李建軍:在找到漏洞具體源頭後,很視乎相關漏洞是否與USB技術標準本身有關。如果無關的話,那新一代USB硬件產品有希望免除這個問題,相信一年內都應可以解決。
只不過,如果漏洞與USB技術標準有關的話,就要等到下一代USB標準推出,並普及後才徹底解決問題,那要用至少三四年時間。而就算未來USB技術標準改變了,雖然令用戶資料安全了,但有可能令舊的USB裝置無法在採用了新標準的電腦上使用。USB這個暫時未非常普及的技術漏洞,有可能因被個別政府濫用而令用戶陷於麻煩之中。
