专家观点:对USB安全性的质疑毫无根据

2014-09-02 09:02:24来源: 互联网

    最近SRLabs的两位研究人员 Karsten Nohl 和 Jakob Lell 所发布的研究报告受到了许多媒体的关注。这份研究报告试图证明 USB 装置如何成为恶意软体进入电脑和可携式电子平台的一种潜在手段。该研究报告并暗示,目前还没有防止这种特定漏洞的任何有效方法。 

    虽然这份报告并未造成恐慌,但其语带挑衅地评论指称 USB 具有「致命性缺陷」,因此使用者只要在电脑和可携式电子设备插入一个 USB 随身碟后,这些设备和内容将不再可靠。这些评论显然是不切实际的,业界需要更理性地全面看待这个问题。

    在柏林的这两位研究人员曾经展示证明, USB 随身碟即使经过格式化和病毒扫描,使其从表面上看起来内容是完全空白的,但事实上仍然具有未能检测出的恶意程式码,这些恶意程式码可能隐藏在介面晶片的韧体内。

    根据两位研究人员的研究暗示, USB 随身碟和许多其他 USB 配件即将走向尽头,而且预计未来的所有商务活动应停止使用 USB 。他们甚至认为,尽管 USB 的使用非常广泛(全世界有超过60亿 USB 埠正进行作业中),但根据这项研究结果, USB 作为一种资料传输介质的时代基本上已经结束了。这是一种大胆以及完全没有根据的陈述。事实上,相较于其他任何资料传输方式,如无线通讯(蓝牙/ Wi-Fi )或网际网路连接, USB 并未曝露于更大的恶意攻击风险之下。

    尽管SRLabs所进行的研究强调,现代社会中的每一个元素其实都遭受到越来越危险的网路攻击,但这当然不表示 USB 的时日已经屈指可数。值得注意的是,关于韧体易于遭受这种恶意操纵的顾虑通常集中在基于微控制器(MCU)的产品上——为了执行一些不必要的额外功能,经常可能对装置的 MCU 单元进行重新编程设计。虽然这种恶意操纵经常套用在市面上的一些 USB 介面IC,但只要生产USB周边设备的OEM在产品设计中选择整合品质更好的USB介面IC,就能大幅地减轻这种威胁。

    SRLabs的研究人员甚至公开表示,目前还没有有效防范 USB 攻击的办法,但这个说一点都不正确。某些服务于 USB 市场的现有半导体制造商已经找到经验证可行的技术,能够有效克服这些问题。这些技术包括供应商级的 USB 接器晶片,而不只是以往的消费级随身碟。

    FTDI Chip公司提供的 USB 桥接晶片正属于供应商级,而非随身碟级的记忆体(大量储存区)。该元件级产品无法客制化作为一种可替代的元件类型。由于这些晶片设计采用硬线连接(取决于固定功能的 ASIC 建置),其中并未采用任何韧体,因此不可能会有恶意程式码被植入,所有的通讯控制也完全透过硬体完成。

    在FTDI Chip产品组合中的一些晶片利用少量的 EEPROM 记忆体资源,但这仅仅针对储存设定,缺乏足够的空间容纳任何形式的恶意软体。鉴于所有这些特性,FTDI Chip的USB桥接晶片除了完成最初设计时的功能以外,不可能被重新程式设计,因此避免了它被恶意操作的可能性。因为这些晶片属于供应商级,如果需要存取这些晶片时,需要特定的FTDI驱动程式/应用程式介面(API)。

    因此,除了那些基于 MCU 的架构以外,目前市场上还有基于硬体状态机架构且无法重编程的现成可用 USB 晶片。上述研究忽略了业界如何采取措施克服这类问题的细节,使其得以证实这一整件事只考虑到自我宣传,而并未顾及公共利益。

    对于IT安全领域的人来说,这种透过宣传噱头来吸引公众的关注再寻常不过了,其目的往往是仅服务于他们自己的目的。业界一直有一种倾向——透过夸大其词(通常很难知道真相)来哄骗人们投资于其新的套装软体等。但问题是,在许多情况下,诉诸危言耸听的策略可能导致反应过度。

    Fred Dart是FTDI Chip公司创办人兼执行长,该公司主要生产电脑连接器晶片,特别是 USB 晶片,Fred Dart最近并推动该公司进军绘图控制器与微控制器市场。Fred Dart拥有英国斯特拉斯克莱德大学(University of Strathclyde)电子与电气工程学理学士学位。毕业后,他曾任职于摩托罗拉(Motorola)和STC公司。在成立FTDI以前,Fred Dart曾在Computer Design Concepts Limited设计公司从事谘询业务。

关键字:USB  安全性

编辑:刘燚 引用地址:http://www.eeworld.com.cn/qrs/2014/0902/article_18195.html
本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。
论坛活动 E手掌握
微信扫一扫加关注
论坛活动 E手掌握
芯片资讯 锐利解读
微信扫一扫加关注
芯片资讯 锐利解读
推荐阅读
全部
USB
安全性

小广播

独家专题更多

富士通铁电随机存储器FRAM主题展馆
富士通铁电随机存储器FRAM主题展馆
馆内包含了 纵览FRAM、独立FRAM存储器专区、FRAM内置LSI专区三大部分内容。 
走,跟Molex一起去看《中国电子消费品趋势》!
走,跟Molex一起去看《中国电子消费品趋势》!
 
带你走进LED王国——Microchip LED应用专题
带你走进LED王国——Microchip LED应用专题
 

何立民专栏

单片机及嵌入式宝典

北京航空航天大学教授,20余年来致力于单片机与嵌入式系统推广工作。

电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2016 EEWORLD.com.cn, Inc. All rights reserved