引言
“ Graz 大学技术学院信息安全研究所的 Florian Draschbacher 与 Lukas Maar 在 Blackhat Asia 2025 安全大会上发表了题为《Watch Your Phone: Novel USB-Based File Access Attacks Against Mobile Devices》的研究报告,该团队作为专注于系统安全、移动安全的博士研究团队,其研究方向覆盖内核安全、侧信道攻击及硬件安全等领域,本文研究聚焦 USB 接口在移动设备中的攻击面挖掘。
”
—
1、传统攻击谱系梳理
USB 攻击长期存在两类技术路径:
恶意设备攻击:
如 2011 年 JuiceJacking 利用 USB 主机信任模型,2014 年 BadUSB 通过篡改外设固件实现攻击,这类攻击依赖绕过用户交互提示。
2、新型攻击技术核心突破
研究团队提出的ChoiceJacking攻击体系,突破了现代设备的用户验证机制:
基于 PD 与蓝牙的 iOS 攻击链
通过 USB Power Delivery(PD)协议切换数据角色,在充电器中植入蓝牙输入设备,利用 CVE-2025-24193 漏洞模拟用户操作,绕过锁屏与权限提示完成 MTP 文件访问。
—
1、MTP 协议栈逻辑漏洞
在华为 Nova 12i 设备中,研究团队发现 MTP 协议处理存在致命缺陷:通过构造BeginEditObject-TruncateObject-EndEditObject命令序列,可利用doTruncateObject函数缺乏权限校验的漏洞,批量清空用户文件。该漏洞对应 CVE-2024-54096,已被补丁修复。
2、USB 状态机劫持攻击
针对 Android 设备,攻击者可通过发送 USB 控制消息强制设备进入附件模式,利用 3 秒超时机制触发状态机将 USB 功能切换为 MTP(需默认配置为 MTP 模式)。在 Pixel 8a 设备演示中,该攻击可在锁屏状态下实现文件读取,对应 CVE-2024-43085 已在 2024 年 11 月修复。
—
1、USB 协议栈设计缺陷
2、Android 系统实现漏洞
doTruncateObject函数未校验文件句柄合法性,导致任意文件删除。setEnabledFunctions未验证屏幕锁定状态,允许通过附件模式间接启用 MTP。—
1、技术防御措施
-
强化 USB PD 角色切换的安全校验,禁止充电器动态获取主机权限。 -
在 AOAP 协议中添加模式状态检查,限制非附件模式下的输入注入。 -
完善 MTP 协议栈的操作校验,对 TruncateObject等危险函数添加权限验证。
-
避免使用公共场合的不明充电器,优先使用自带电源。 -
在开发者选项中禁用默认 MTP 模式,启用锁屏时的 USB 限制。
2、研究拓展方向
—
该研究揭示了移动设备 USB 安全机制在协议设计与系统实现中的深层缺陷,其提出的 ChoiceJacking 攻击体系突破了传统 "用户确认 + 锁屏防护" 的安全模型。作为第三方研究视角,需关注此类攻击技术与商业取证工具的技术同源性(如 Cellebrite UFED 的底层技术滥用风险),并推动设备厂商从协议栈到硬件层的全链条安全加固。当前漏洞已部分修复,但攻击者对 USB 接口的探索仍在持续,安全从业者需保持对 USB 协议实现细节的持续关注。
(注:所有技术细节均基于 BlackHat Asia 2025 公开文档研究团队为 Graz 大学 Florian Draschbacher 与 Lukas Maar 博士团队)
附PPT截图:
原文始发于微信公众号(白帽子罗棋琛):Blackhat Asia 2025:USB文件访问新型攻击技术研究
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论