专家观点:对USB安全性的质疑毫无根据

2014-09-02 09:02:24来源: 互联网 关键字:USB  安全性

    最近SRLabs的两位研究人员 Karsten Nohl 和 Jakob Lell 所发布的研究报告受到了许多媒体的关注。这份研究报告试图证明 USB 装置如何成为恶意软体进入电脑和可携式电子平台的一种潜在手段。该研究报告并暗示,目前还没有防止这种特定漏洞的任何有效方法。 

    虽然这份报告并未造成恐慌,但其语带挑衅地评论指称 USB 具有「致命性缺陷」,因此使用者只要在电脑和可携式电子设备插入一个 USB 随身碟后,这些设备和内容将不再可靠。这些评论显然是不切实际的,业界需要更理性地全面看待这个问题。

    在柏林的这两位研究人员曾经展示证明, USB 随身碟即使经过格式化和病毒扫描,使其从表面上看起来内容是完全空白的,但事实上仍然具有未能检测出的恶意程式码,这些恶意程式码可能隐藏在介面晶片的韧体内。

    根据两位研究人员的研究暗示, USB 随身碟和许多其他 USB 配件即将走向尽头,而且预计未来的所有商务活动应停止使用 USB 。他们甚至认为,尽管 USB 的使用非常广泛(全世界有超过60亿 USB 埠正进行作业中),但根据这项研究结果, USB 作为一种资料传输介质的时代基本上已经结束了。这是一种大胆以及完全没有根据的陈述。事实上,相较于其他任何资料传输方式,如无线通讯(蓝牙/ Wi-Fi )或网际网路连接, USB 并未曝露于更大的恶意攻击风险之下。

    尽管SRLabs所进行的研究强调,现代社会中的每一个元素其实都遭受到越来越危险的网路攻击,但这当然不表示 USB 的时日已经屈指可数。值得注意的是,关于韧体易于遭受这种恶意操纵的顾虑通常集中在基于微控制器(MCU)的产品上——为了执行一些不必要的额外功能,经常可能对装置的 MCU 单元进行重新编程设计。虽然这种恶意操纵经常套用在市面上的一些 USB 介面IC,但只要生产USB周边设备的OEM在产品设计中选择整合品质更好的USB介面IC,就能大幅地减轻这种威胁。

    SRLabs的研究人员甚至公开表示,目前还没有有效防范 USB 攻击的办法,但这个说一点都不正确。某些服务于 USB 市场的现有半导体制造商已经找到经验证可行的技术,能够有效克服这些问题。这些技术包括供应商级的 USB 接器晶片,而不只是以往的消费级随身碟。

    FTDI Chip公司提供的 USB 桥接晶片正属于供应商级,而非随身碟级的记忆体(大量储存区)。该元件级产品无法客制化作为一种可替代的元件类型。由于这些晶片设计采用硬线连接(取决于固定功能的 ASIC 建置),其中并未采用任何韧体,因此不可能会有恶意程式码被植入,所有的通讯控制也完全透过硬体完成。

    在FTDI Chip产品组合中的一些晶片利用少量的 EEPROM 记忆体资源,但这仅仅针对储存设定,缺乏足够的空间容纳任何形式的恶意软体。鉴于所有这些特性,FTDI Chip的USB桥接晶片除了完成最初设计时的功能以外,不可能被重新程式设计,因此避免了它被恶意操作的可能性。因为这些晶片属于供应商级,如果需要存取这些晶片时,需要特定的FTDI驱动程式/应用程式介面(API)。

    因此,除了那些基于 MCU 的架构以外,目前市场上还有基于硬体状态机架构且无法重编程的现成可用 USB 晶片。上述研究忽略了业界如何采取措施克服这类问题的细节,使其得以证实这一整件事只考虑到自我宣传,而并未顾及公共利益。

    对于IT安全领域的人来说,这种透过宣传噱头来吸引公众的关注再寻常不过了,其目的往往是仅服务于他们自己的目的。业界一直有一种倾向——透过夸大其词(通常很难知道真相)来哄骗人们投资于其新的套装软体等。但问题是,在许多情况下,诉诸危言耸听的策略可能导致反应过度。

    Fred Dart是FTDI Chip公司创办人兼执行长,该公司主要生产电脑连接器晶片,特别是 USB 晶片,Fred Dart最近并推动该公司进军绘图控制器与微控制器市场。Fred Dart拥有英国斯特拉斯克莱德大学(University of Strathclyde)电子与电气工程学理学士学位。毕业后,他曾任职于摩托罗拉(Motorola)和STC公司。在成立FTDI以前,Fred Dart曾在Computer Design Concepts Limited设计公司从事谘询业务。

关键字:USB  安全性

编辑:刘燚 引用地址:http://www.eeworld.com.cn/qrs/2014/0902/article_18195.html
本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。

上一篇:嵌入式存储器的设计方法和策略
下一篇:第二届闪迪年度客户研讨会圆满举行

关注eeworld公众号 快捷获取更多信息
关注eeworld公众号
快捷获取更多信息
关注eeworld服务号 享受更多官方福利
关注eeworld服务号
享受更多官方福利
推荐阅读
全部
USB
安全性

小广播

独家专题更多

东芝在线展会——芯科技智社会创未来
东芝在线展会——芯科技智社会创未来
2017东芝PCIM在线展会
2017东芝PCIM在线展会
TI车载信息娱乐系统的音视频解决方案
TI车载信息娱乐系统的音视频解决方案
汇总了TI汽车信息娱乐系统方案、优质音频解决方案、汽车娱乐系统和仪表盘参考设计相关的文档、视频等资源

何立民专栏

单片机及嵌入式宝典

北京航空航天大学教授,20余年来致力于单片机与嵌入式系统推广工作。

电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2017 EEWORLD.com.cn, Inc. All rights reserved