Spotify 向記者發放 U 盤是什麼騷操作?

上周,Spotify 向記者發放了一些 U 盤,並附帶了一則說明:「請播放。」

記者收到 U 盤這種事並不少見,很多公司都會向記者發放 U 盤,包括在技術會議上,他們常常把宣傳材料或大文件(比如用其他辦法無法高效傳播的視頻)拷入 U 盤進行分發。

但是,任何受過基本安全培訓的人(我們 TechCrunch 就有這樣的培訓)都知道,不要在未採取任何預防措施的情況下插入 U 盤。

對於 Spotify 的 U 盤,我們有點擔心,但倒沒有被嚇到。我們在一台備用電腦上使用一次性版本的 Ubuntu Linux(通過 CD 運行)對 U 盤包含的內容進行了安全檢查,結果表明它是安全的,裡面只有一個音頻文件,播放出來是一句話,「我是亞歷克斯·戈德曼(Alex Goldman),你剛剛被黑了。」

這個 U 盤是為 Spotify 的新播客打廣告的,不然還能是什麼呢?!

Spotify向記者發放的 U盤(圖片來源:TechCrunch

傑克·威廉姆斯(Jake Williams)是曾在美國國家安全局(NSA)任職的黑客,他還是信息安全公司 Rendition Infosec 的創始人,他表示,Spotify 鼓勵記者把 U 盤插入自己的電腦,這一舉動堪稱 「無知無畏」。

U 盤並不天然跟惡意軟件聯繫在一起,但它們被用於黑客攻擊活動也是名聲在外,而且通常是入侵那些不聯網的地方(比如發電廠核濃縮工廠)。威廉姆斯說,U 盤中可能包含惡意軟件,它在被插入受害人的電腦後可以自動打開並安裝後門。

他還說,「U 盤上的文件可能包含活動內容。」 這些內容在被打開后可能會對受感染設備上存在的漏洞加以利用。

Spotify 的發言人拒絕就此事發表評論,該公司把我們的置評請求移交給了為其服務的公關公司 Sunshine Sachs。後者也沒有發表評論,只是說 「所有記者都會收到一封有關此事的電郵聲明」。

在電腦插入來歷不明的 U 盤,這個問題可能比你想象的更為嚴重。谷歌的安全研究員埃利·比爾斯坦(Elie Bursztein)在自己的研究中發現,大約有一半的人會把來歷不明的 U 盤插入自己的電腦。

今年早些時候,農業機械公司約翰迪爾(John Deere)就用這樣的操作引起了騷動,該公司分發了用於宣傳推廣的 U 盤,其中包含了可在插入電腦後自動運行的腳本,劫持電腦的鍵盤,打開瀏覽器並自動輸入約翰迪爾的網址。儘管該公司本意不是拿 U 盤傳播惡意軟件,但他們的舉動還是遭到了廣泛批評,因為惡意軟件通常就是以自動腳本的形式運行的。

考慮到 U 盤可能構成的威脅,美國國土安全部(DHS)的網絡安全部門 CISA 在上個月更新了有關 U 盤安全性的指導方針。記者是經常受到攻擊的對象,包括某些政府實施的定向網絡攻擊

請記住:在處理 U 盤時請務必採取預防措施,除非你信任它,否則切勿插入。

題圖來源: Getty Images

翻譯:王燦均(@何無魚

No, Spotify, you shouldn』t have sent mysterious USB drives to journalists


想在手機閱讀更多社交網絡資訊?下載【香港矽谷】Android應用
分享到Facebook
技術平台: Nasthon Systems