นักวิจัยด้านความปลอดภัยสองคนได้ทำการสาธิตข้อบกพร่อง BadUSB ใหม่ และเผยแพร่ซอร์สโค้ดบนเว็บ แต่พวกเขาบอกว่ามันเป็นไปเพื่อเหตุผลที่ดี นั่นคือเพื่อให้ผู้ผลิตย้าย
คุณจำได้ไหม« BadUSB »ข้อบกพร่องด้านความปลอดภัยอันเลวร้ายนี้ซึ่งทำให้คีย์ USB ใด ๆ สามารถแปลงเป็นเวกเตอร์ที่มีเจตนาร้ายได้ การละเมิดนี้ถูกตรวจพบเมื่อเดือนสิงหาคมปีที่แล้วโดยนักวิจัยด้านความปลอดภัย Karsten Nohl และ Jakob Lell จาก Security Research Labs และนำเสนอที่การประชุม BlackHat ในลาสเวกัส- ขึ้นอยู่กับข้อเท็จจริงที่ว่าเฟิร์มแวร์อุปกรณ์เสริม USB ส่วนใหญ่สามารถตั้งโปรแกรมใหม่เพื่อแทรกโค้ดอื่นได้ โดยเฉพาะอย่างยิ่งสามารถส่งคีย์ USB เป็นแป้นพิมพ์และส่งคำสั่งไปยังคอมพิวเตอร์ได้ หรือแม้แต่เปลี่ยนสมาร์ทโฟนให้เป็นอินเทอร์เฟซเครือข่ายเพื่อสกัดกั้นการรับส่งข้อมูล
ผู้เชี่ยวชาญ SRLabs สองคนเลือกที่จะไม่เผยแพร่รายละเอียดทางเทคนิคของการสาธิต เพราะพวกเขาเชื่อว่าข้อบกพร่องนี้แก้ไขได้ยากมาก ในด้านหนึ่ง มีออบเจ็กต์ USB มากเกินไปในการหมุนเวียน และในทางกลับกัน ผู้ผลิตขาด จะเข้ามาแก้ไขปัญหาตรงหน้า
นักวิจัยด้านความปลอดภัยอีกสองคนได้ขยายขอบเขตออกไปอีกเล็กน้อย สัปดาห์ที่แล้ว ในระหว่างการประชุม Adam Caudill และ Brandon Wilson ได้แสดงให้เห็นว่าอุปกรณ์เสริม USB สามารถนำมาใช้ในทางที่ผิดได้อย่างไร พวกเขาวิศวกรรมย้อนกลับเฟิร์มแวร์ของคอนโทรลเลอร์ USB จาก Phison ซึ่งเป็นบริษัทไต้หวันที่เชี่ยวชาญด้านการจัดหาส่วนประกอบประเภทนี้ ไม่ว่าจะเป็นคีย์ USB การ์ดหน่วยความจำ หรือฮาร์ดไดรฟ์ SSD ตัวควบคุมที่เป็นปัญหาเรียกว่า 2251-03 และจะเป็น“ที่นิยมใช้กันมากที่สุดในตลาด”โดย อดัม คาดิล เอง
เพื่อนสองคนทำการสาธิตสามครั้ง: การตั้งโปรแกรมเฟิร์มแวร์ Phison ใหม่ทั้งหมด การสร้างพาร์ติชันที่ซ่อนอยู่บนตัวควบคุม และการข้ามรหัสผ่านของคีย์ USB จากนั้นพวกเขาก็เผยแพร่โค้ดที่เชื่อมโยงกับการสาธิตบนเว็บไซต์ทันทีGithubเสริมด้วยกวิกิเพื่ออธิบายวิธีการใช้งาน สำหรับพวกเขา เอกสารเผยแพร่นี้จะทำให้ผู้ใช้ตระหนักถึงความเสี่ยงที่อาจเกิดขึ้น ช่วยผู้เชี่ยวชาญด้านความปลอดภัยในการค้นหาวิธีแก้ปัญหา และบังคับให้ผู้ผลิตตรวจสอบปัญหานี้ในที่สุด เพราะตั้งแต่เดือนสิงหาคมปีที่แล้ว“พวกเขาไม่ได้แสดงความตั้งใจที่จะพยายามแก้ไขปัญหาเหล่านี้”ขีดเส้นใต้อดัม คาดิลในจังหวะโพสต์ในบล็อก-
แน่นอนว่าสิ่งนี้ทำให้เกิดอารมณ์บางอย่างในโลกแห่งความปลอดภัย มันไม่ประมาทไปหน่อยเหรอ? เราควรกลัวคลื่นการโจมตี USB หรือไม่? นักวิจัยเชื่อว่าไม่จริง เนื่องจากไม่มีอะไรที่เป็นอันตรายเกี่ยวกับการสาธิต: ไม่มีการแทรกโค้ดที่เป็นอันตรายหรือการจำลองแบบอัตโนมัติ นอกจากนี้ มีผู้เชี่ยวชาญเพียงไม่กี่คนเท่านั้นที่จะสามารถใช้แหล่งข้อมูลเหล่านี้เพื่อปรับตัวได้จริงๆ เพราะ“การเขียนโค้ดสำหรับอุปกรณ์เหล่านี้ไม่ใช่เรื่องง่าย”สรุปคือใครที่อยากทำและมีความสามารถก็สามารถทำมาก่อนได้
แหล่งที่มา :
ที่การนำเสนอดาดัม คาดิล และแบรนดอน วิลสัน
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
