在3月9日的發(fā)布會(huì)上，蘋(píng)果推出了新的MacBook，具有多合一USBC接口。谷歌隨后發(fā)布了一款新的chrome Book pixel，它還附帶了USBC。這種節(jié)奏似乎告訴我們，在不久的將來(lái)，USBC將成為標(biāo)準(zhǔn)配置。

當(dāng)然，usbc也有其征服蘋(píng)果谷歌的優(yōu)點(diǎn)，比如體積小、正負(fù)不分、傳輸性能高、功耗大，可以作為電源接口并集成更多功能接口。但它也有一些缺點(diǎn)，比如通用性差。它只能做一項(xiàng)工作，也就是說(shuō)，當(dāng)你充電時(shí)，你不想用這個(gè)接口做任何事情。然而，這些細(xì)節(jié)遠(yuǎn)沒(méi)有接口的安全問(wèn)題那么嚴(yán)重。

USB C的潛在風(fēng)險(xiǎn)

usbc是基于USB標(biāo)準(zhǔn)的接口之一。它很容易受到惡意固件的攻擊和入侵。此外，研究人員還關(guān)注通過(guò)直接內(nèi)存訪問(wèn)DMA的接口入侵。這些bug并不是新事物，但通用接口中的這些潛在危險(xiǎn)不能說(shuō)是可怕的事情。在過(guò)去，如果一些用戶(hù)擔(dān)心USB病毒的入侵，他們會(huì)檢查接口或直接扔掉，買(mǎi)一個(gè)新的。現(xiàn)在只有一個(gè)接口，它仍然被用作電源接口。因此，它不能像以前那樣自由，特別是在這個(gè)接口上攜帶一些惡意程序，這是一個(gè)非常嚴(yán)重的后果。

badubs攻擊方法

在2014年的黑帽大會(huì)上，有一種叫做badubs的攻擊方法，可以讓惡意軟件通過(guò)USB設(shè)備滲透網(wǎng)絡(luò)。即使被感染的USB設(shè)備被扔掉，病毒也會(huì)通過(guò)受害者電腦的USB端口傳播。此攻擊方法使USB安全和USB相關(guān)設(shè)備（包括具有USB端口的計(jì)算機(jī)）面臨風(fēng)險(xiǎn)。盡管我們知道如何保護(hù)外圍設(shè)備免受攻擊，例如瑞銀的內(nèi)置保護(hù)，但計(jì)算機(jī)是很難避免的。因?yàn)殡娔X一般都接受USB接口，即使這個(gè)USB有內(nèi)置的保護(hù)功能，那也未必可用。

根據(jù)最近的一份報(bào)告，蘋(píng)果允許第三方充電器支持USBC接口。這將意味著會(huì)有更多受感染的USB接口和相關(guān)設(shè)備。試想一下，使用badubs攻擊方法，加上多合一USBC接口，每個(gè)插件都會(huì)傳播一次病毒。這種情況令人毛骨悚然。

USBC無(wú)法破解壞的USB

盡管USBC有很多優(yōu)點(diǎn)，安全專(zhuān)家說(shuō)它不能破解壞的USB攻擊。badubs的研究員karstennohl說(shuō)，usbc接口的多功能性和額外的開(kāi)放性使其面臨更多的攻擊面。即使是一個(gè)新的接口，它也不會(huì)對(duì)壞的USB攻擊做出反應(yīng)。在某種程度上，USB的開(kāi)放標(biāo)準(zhǔn)是必要的。它不僅向后兼容，而且對(duì)第三方開(kāi)放。例如，如果您使用USBC適配器來(lái)處理舊的USB設(shè)備，那么舊的軟件仍然支持USBC。即使是蘋(píng)果和谷歌這樣的巨頭也需要遵守USB協(xié)議標(biāo)準(zhǔn)。只有這樣，才能保持整個(gè)USB生態(tài)系統(tǒng)的穩(wěn)定。然而，這種穩(wěn)定性的代價(jià)是用戶(hù)需要面對(duì)的安全漏洞風(fēng)險(xiǎn)。

具體來(lái)說(shuō)，新MacBook和ChromebookPixel的用戶(hù)需要面對(duì)一種被稱(chēng)為“借用充電器”的攻擊風(fēng)險(xiǎn)。雖然新接口usbc沒(méi)有badubs病毒的固件，但惡意黑客會(huì)自行安裝，然后通過(guò)在咖啡店尋找目標(biāo)、用新接口充電或傳輸數(shù)據(jù)來(lái)尋找原因。

保護(hù)你的充電器

似乎不太可能在生態(tài)系統(tǒng)層面解決這一脆弱性。不會(huì)有一個(gè)巨大的USB聯(lián)盟，可以改變一個(gè)公司。最實(shí)際的方法應(yīng)該是離開(kāi)USB標(biāo)準(zhǔn)。此前，蘋(píng)果在lightning interface等連接器中內(nèi)置了一些認(rèn)證芯片，雖然主要是為了保護(hù)蘋(píng)果盈利的授權(quán)業(yè)務(wù)，但也提供了強(qiáng)大的硬件安全。這種硬件安全對(duì)于開(kāi)放式USB是不可能的。值得注意的是，盡管蘋(píng)果要求所有充電器都要用防篡改固件綁定認(rèn)證芯片，但面對(duì)舊設(shè)備時(shí)，它變得非常脆弱，因?yàn)楹诳涂梢詫SB設(shè)備假冒成舊的USB設(shè)備，然后用病毒感染這些設(shè)備。

總之，為了避免USB C或壞USB攻擊的風(fēng)險(xiǎn)，拒絕使用任何不屬于您的USB接口非常簡(jiǎn)單。當(dāng)然，使用這種簡(jiǎn)單粗暴的低級(jí)安全手段，是對(duì)科技進(jìn)步的侮辱。換言之，雖然新的接口帶來(lái)了便利，但成本總是在擔(dān)心哪些充電器值得信賴(lài)。這有進(jìn)展嗎？不管怎樣，保護(hù)好你的充電器。