2023 SDC 議題搶先看
01 議題前瞻
USB FUZZ 工具前沿探索
USB是現代計算機系統和裝置中最常見的外設介面,其某些固有的安全性問題使其容易成為攻擊者的目標。在對USB安全研究的過程中,我們利用USB協議完全模擬了Windows帶有人臉識別的USB攝像頭,其符合微軟的紅外攝像頭解鎖的UVC協議,僅需一張普通紅外圖片就可以解鎖Windows hello。
為了更全面的審查USB安全性,我們由此開發了一套全新的USB fuzz工具,基於嵌入式lua韌體,可以模擬不同的符合USB協議的裝置,並且針對USB描述符資料互動傳輸的特性,模擬任意USB裝置對主機的USB棧與驅動程式進行自動化fuzz,我們設計了一套提高效率的生成策略,產生基於USB協議規範的fuzz資料,並且終端會根據fuzz執行結果進行反饋,同時解決了影響fuzz時間的問題。
目前fuzz成果還包括引起Windows、ubuntu 的拒絕服務,造成崩潰。透過這項研究和開發工作,我們旨在深入理解USB安全性,併為提高USB裝置的安全性和魯棒性做出貢獻。
02 演講嘉賓
何丙陽-聯想安全實驗室安全研究員
有多年的安全研究經驗,主要領域覆蓋IOT,側通道,逆向分析等。
吳優-聯想安全實驗室研究員
有多年安全研究經驗,參與補天破解杯,主要領域覆蓋IOT,智慧家居,逆向分析等。
聽眾收穫
1.瞭解攻擊者可能利用USB介面進行攻擊的方式和手段;
2.瞭解USB fuzz工具的最新研究成果和開發進展,以及如何利用這種工具來模擬不同的USB裝置並進行自動化fuzz測試;
3.瞭解如何在基於USB協議規範下進行Fuzz流程,以及如何減少Fuzz時間,提升Fuzz效率,幫助裝置製造商和相關領域發現USB裝置中潛在的安全隱患。
掃碼報名參會
更多議題細節,歡迎來 SDC 現場聆聽