2023 SDC 议题抢先看

01 议题前瞻

USB FUZZ 工具前沿探索

USB是现代计算机系统和设备中最常见的外设接口，其某些固有的安全性问题使其容易成为攻击者的目标。在对USB安全研究的过程中，我们利用USB协议完全模拟了Windows带有人脸识别的USB摄像头，其符合微软的红外摄像头解锁的UVC协议，仅需一张普通红外图片就可以解锁Windows hello。

为了更全面的审查USB安全性，我们由此开发了一套全新的USB fuzz工具，基于嵌入式lua固件，可以模拟不同的符合USB协议的设备，并且针对USB描述符数据交互传输的特性，模拟任意USB设备对主机的USB栈与驱动程序进行自动化fuzz，我们设计了一套提高效率的生成策略，产生基于USB协议规范的fuzz数据，并且终端会根据fuzz执行结果进行反馈，同时解决了影响fuzz时间的问题。

目前fuzz成果还包括引起Windows、ubuntu 的拒绝服务，造成崩溃。通过这项研究和开发工作，我们旨在深入理解USB安全性，并为提高USB设备的安全性和鲁棒性做出贡献。

02 演讲嘉宾

何丙阳-联想安全实验室安全研究员

有多年的安全研究经验，主要领域覆盖IOT，侧信道，逆向分析等。

吴优-联想安全实验室研究员

有多年安全研究经验，参与补天破解杯，主要领域覆盖IOT，智能家居，逆向分析等。

听众收获

1.了解攻击者可能利用USB接口进行攻击的方式和手段；

2.了解USB fuzz工具的最新研究成果和开发进展，以及如何利用这种工具来模拟不同的USB设备并进行自动化fuzz测试；

3.了解如何在基于USB协议规范下进行Fuzz流程，以及如何减少Fuzz时间，提升Fuzz效率，帮助设备制造商和相关领域发现USB设备中潜在的安全隐患。

扫码报名参会

更多议题细节，欢迎来 SDC 现场聆听