澳大利亚安全研究人员警告：恶意USB配件可秘密监视流经在相邻USB端口工作外设的数据。

 

举个例子，USB键盘的按键操作，就可被插入邻近端口的特制U盘读取。间谍U盘可拾取端口间泄露出的电子信号。该案例中，分析此泄露信号打开了键盘记录的大门。

这意味着，如果能将诱饵U盘或其他什么恶意配件插入受害者主机，坏人就有可能读取到敏感信息。这不是特别实用的方案，也不令人恐惧，但依然很有趣，而且绝对是应该防范的一种情况——如果你将自己的设备插入到机场之类公共充电站的话。

8月10日，阿德莱德大学计算机科学学院研究助理尤瓦尔·亚罗姆称：“电流就像管道里的水，是可以漏出的。我们的项目中，USB端口数据线的电压波动，就可以从USB集线器邻近端口监测。”

　　但我们的研究显示，如果恶意设备或被感染设备，插入到同一个外部或内部USB集线器的相邻端口，该敏感信息就会被捕获。那么反映出口令或其他隐私信息的击键情况就很容易被盗了。

该研究预定在本周举行的USENIX安全大会上展示，研究人员测试的50多个USB设备中，90%以上都可被他们所谓的“信道对信道串音泄露”攻击所读取。

实验中，研究人员改造了一款USB桌灯，可从接入相邻端口的USB键盘收集数据。按键情况通过蓝牙发送到另一台计算机，用软件分析解码，从击键记录中窥探出键入的用户名、口令和其他敏感信息。

　　USB的设计方案，是假定所有接入设备都在用户控制之下，且都是可信的——但我们知道情况并非如此。除非数据在发送前被加密，否则USB永远不安全。

“主要的关键信息就是，千万别把不能完全信任的东西插入USB接口。对用户而言，这通常指不要连接其他人的设备。对安全要求更严格的公司企业而言，整个供应链都应经过验证，以确保设备都是安全的。”

(责任编辑：安博涛)