如果 USB 連接埠未加強安全,就會創造出可以輕鬆繞過插入裝置安全措施的漏洞捷徑。在 USB 安全系列的第二篇文章裡,資安專家 Ben Finn 為無國界記者(RSF)說明,雖然公共 USB 充電埠不可信任,但我們可以使用攔截資料的工具,防止不必要的資料傳輸。
記者在出差時經常需要尋找為手機或筆記型電腦充電的地方。機場、咖啡廳、巴士、飯店和辦公大樓等公共場所常設有便民的 USB 充電站,但記者應該警覺到使用這些充電設施可能不是一件安全的事情。
USB 連接埠是電腦和其他電子設備的標準連接線連接介面,可用來為設備充電和傳輸資料,本身就存在本系列上集討論到的安全漏洞。大多數的設備的預設值都同時允許上述兩種功能。
「充電陷阱」
這些雙向功能是一種稱為「充電陷阱」的網路攻擊所需的基本條件。「充電陷阱」就是看似無害的 USB 充電站在使用者不知情的情況下傳輸資料、散播惡意軟體,或竊取插入裝置的敏感資料。裝置在連接到 USB 充電埠時,就算把設定變更為「僅充電」也可能不足以防止複雜的「充電陷阱」攻擊。 此外,「充電陷阱」攻擊也可以透過便攜式行動電源進行。
所以我們在任何情況下都不可以信任公共 USB 連接埠、公共網路線或任何公共連接埠。即使它們當初是為了便民服務而設置的,還是隨時可能受到惡意行為者上傳惡意軟體的危害。所以我們建議記者盡可能極力避免將任何未知工具插入他們的裝置。如果真的沒辦法,請務必使用資料攔截器,即「USB 安全套」。
阻礙資料傳輸的「USB 安全套」
資料攔截器因物理保護的特性被暱稱為「USB 安全套」,是防止USB 連接時傳輸不必要的資料的最佳保護:它是一種價格親民的小型設備,可以裝在USB 線的末端,以實體方式擋住USB 連接埠傳輸資料的部分,防止資料傳輸。
無國界記者建議記者從信譽良好的來源購買「USB 安全套」,以便在所有不受信任的地點使用。視安全級別而定,有時記者甚至應該在受信任的地點加以使用。Portapow、Plugable 或 DataBlocker Pro 都是提供這項工具的可靠品牌。
作者Benjamin Finn來自美國休斯頓,在 IT 領域已有十年資歷,期間主要工作為協助大型企業部署內部資安工具,包含提升網路安全的措施。他致力於高壓民族國家(緬甸)提供安全培訓。他也和數個台灣團體合作,為其進行資安和安全措施相關的培訓。
