南科大计算机系本科生在国际进攻技术研讨会上作报告

2021-06-12

2021年5月27日,第15届进攻技术研讨会(15th Workshop On Offensive Technologies)于线上举行,南方科技大学五位本科生作了关于USBType-C协议漏洞的报告。

进攻技术研讨会自2007年起,与计算机领域顶级学术会议USENIXSecurity与IEEES&P联合举办,由USENIX与IEEE协会赞助。作为信息安全领域进攻方向的研讨会,每年都会吸引大量的研究者与工业界人士参加。其主要目标为为工业界、学术界与独立黑客间建立沟通与协作的桥梁。以更好地促进信息安全领域的进步。

在南科大的计算机本科课程 CS315 《计算机安全》上,五位大四本科生(卢弘毅,吴烨昌,李树青,林游,张超祖)在任课老师张锋巍的指导下展开对USBType-C协议安全的分析,进行针对该协议的漏洞发掘,最终成果在国际进攻技术研讨会上进行报告。

311622470323811266.jpg

张锋巍老师和五位学生

该项目主要借助USBType-C接口的新功能,视频信号传输来增强之前的一个被称作BadUSB的攻击。项目小组制作了一个BadUSB-C的原型,并且把它制成了类似于充电宝的形状。一旦被接入手机,BadUSB-C可以窃取大量的用户信息。

这种类型的漏洞在共享充电宝兴起的当下实际上是十分危险的,项目小组在完成论文的同时,就联系了华为应急响应中心(PSIRT)来进行负责任的披露,并且该漏洞已获批漏洞编号CVE-2021-22325。目前该漏洞已被华为修复,同时,该漏洞也评审通过了华为终端安全漏洞奖励计划。

原文链接:https://newshub.sustech.edu.cn/zh/html/202105/40845.htmlhttps://newshub.sustech.edu.cn/zh/html/202105/40845.html