Интерфейсы USB также являются открытыми шлюзами для находчивых хакеров в различных системах. Это было продемонстрировано кроссплатформенным исследованием двух исследователей безопасности, которые обнаружили 26 ранее неизвестных уязвимостей с помощью всего одного инструмента.
Хуэй Пэн из Университета Пердью и Матиас Пайер из Швейцарского федерального технологического института в Лозанне выявили уязвимости, когда они подвергали стеки USB нескольким операционным системам в ходе стресс-теста. Windows, Linux, MacOS и FreeBSD пострадали здесь в равной степени, сообщает американский журнал ZDNet. Для некоторых обнаруженных уязвимостей уже выпущены исправления, в то время как другие будут исправлены в ближайшее время соответствующими поставщиками платформ.
Два исследователя разработали инструмент фаззер USBFuzz для своей работы. Фаззер гарантирует, что программное обеспечение поставляется с большим количеством неожиданных данных. Это показывает, работают ли функции в программе должным образом, даже если пользователи не предоставляют им информацию, которую ожидает разработчик. Потому что случается, что такие данные вызывают непредвиденное поведение программы.
С USB на BSOD
USBFuzz имитирует обычное USB-устройство, которое подключается к одной из упомянутых операционных систем через соответствующие драйверы. Поскольку инструмент не отличается от аппаратного устройства с точки зрения соответствующей системы, его также можно легко перенести на другие платформы, чтобы продолжить там испытания.
Стеки драйверов операционных систем должны были столкнуться со многими трудностями. Например, две ошибки в драйверах USB MacOS вызвали самопроизвольные перезапуски, одна — зависание системы. Четыре ошибки были обнаружены в Windows, что привело к знаменитому синему экрану. Исследователи безопасности обнаружили 18 и, следовательно, большинство ошибок в стеке USB различных ядер Linux.
Источник: