Wat is Fuzzing en hoe zijn 26 USB-bugs gevonden?
Fuzzing is een testmethode met geautomatiseerde software die ongeldige, onverwachte en willekeurige gegevens als invoer voor een computerprogramma. Het testprogramma controleert vervolgens op crashes, beweringen en mogelijke geheugenlekken.
Een onderzoeksteam van de Purdue University bedacht USBFuzz, dat enorme hoeveelheden willekeurige gegevens door de USB-bus van een systeem duwt. De betaler van Hui Peng en Mathias (van het Zwitserse Federale Instituut voor Technologie) bedachten het idee en het programma.
Verlies geen slaap over de gevonden bugs.
Peng en Mathias vonden één bug in FreeBSD, drie in MacOS (twee resulteerden in een ongeplande herstart en één bevroor het systeem), vier in Windows 8 en Windows 10 (resulterend in Blue Screens of Death) en de overgrote meerderheid van bugs , in Linux – 18 in totaal.
Van al deze bugs hoeven Windows-gebruikers zich geen zorgen te maken, ze zijn opgelost. Van de 18 gevonden in Linux zijn er 16 al gecorrigeerd. Die corrigeren waar grote beveiligingsfouten zijn.
Wat we leuk vinden aan de USBFuzz is het onderliggende thema om de beveiliging van het USB-platform en voortdurende verbetering te verbeteren. We vinden het ook leuk dat USBFuzz een open source stukje code wordt dat iedereen kan gebruiken om hun USB-product te versterken. Het team zal later dit jaar , 2020 een versie op GitHub uitbrengen.