柏林的一家SR安全研究实验室专家近日发现了一个代号为"BadUSB"的重大USB安全漏洞：USB接口控制器芯片固件可以被重新编程，用于恶意用途，最糟糕的是这种重新编程行为几乎无法被擦觉和侦测。

此次曝光的代号"BadUSB"的安全漏洞，使USB成为世界上最危险的数据接口。USB遗留如此严重的安全漏洞的主因是负责USB标准的组织——USB部署论坛，长期以来重点发展USB借口的性能，而牺牲了安全性。

如今，USB接口功能丰富，例如你可以将任何USB周边设备连入主机，这些都是通过USB类库和分类驱动实现的。所有USB设备都有一个类库，常见的如HID人际设备（例如键盘鼠标），无线控制（如蓝牙）以及大规模存储（例如U盘等）。在主机端的USB控制器的分类驱动负责管理不同类型的USB设备，这解释了为什么随便插一个USB键盘到有USBhost功能的设备上，都能直接使用无需安装驱动的原因。

而问题也恰恰出现在USB的控制器上，控制器的固件可以被重新编程，因此可以假冒其他类库。可以把U盘刷成键盘鼠标的类库，从而把预先存储的指令直接输入主机，这些指令可以用于安装恶意软件，重写其他USB设备的固件等。一夜之间，我们发现全世界的电子设备都面临类似飞客蠕虫的袭击（yiqig.cn）。

此次发现的USB安全漏洞短期内无法修复，而杀毒软件等根本查不到USB设备的固件，对此，提醒企事业单位及政府机构，在部门内的局域网对USB设备进行严格的限制和管理，可通过使用上网行为管理软件可以做到对USB设备的授权和封堵。