OpenRay手記:USB入侵防不勝防

最近在Black Hat黑客大會上,有電腦保安公司示範USB入侵,把一隻USB手指插進電腦,便可以自動安裝間諜軟件,並把電腦完全控制。

這是新一代的USB手指入侵法,利用做過手腳的USB控制晶片,在USB初始化時載入有問題的驅動程式,從而在電腦上安裝間諜軟件。

據該電腦保安公司指出,這種USB入侵方法幾乎可以應用在任何USB裝置上,包括USB手指、外置式硬碟機、USB讀卡器、智能手機,甚至鍵盤和滑鼠等,頗令人防不勝防。

例如我們到人家公司開會,可能要共用文件。當對方把USB手指遞給你,指最新版本的文件已經存到USB手指上,叫你用電腦打開。我想絕大部分人都不會想到,USB手指可能內藏黑客軟件,一插進電腦,便可以在電腦上自動安裝各式間諜軟件,竊取資料。

又例如朋友說手機快沒電,想借你的電腦用USB線充電,我想大部分人也不會介意吧。以我自己為例,因為我經常隨身攜帶筆記簿電腦,不少人會問我「借電」,把手機經USB線插到我的電腦上。

如果手機內藏黑客軟件,在手機插進電腦的一刻,已經可以啟動黑客程式入侵電腦了。

電腦保安公司指出,暫時防毒軟件未必能夠防範這類經過USB接入的黑客入侵,因此最好的保安方法,是拒絕使用來歷不明的USB手指。

電郵:ray@openrice.com

鍾偉民(Ray)‧飲食網站創辦人