Spotify 向記者發放 U 盤是什麼騷操作？

上周，Spotify 向記者發放了一些 U 盤，並附帶了一則說明：“請播放。”

記者收到 U 盤這種事並不少見，很多公司都會向記者發放 U 盤，包括在科技會議上，他們常常把文宣資料或大檔案（比如用其他辦法無法高效傳播的視頻）拷入 U 盤進行分發。

但是，任何受過基本安全培訓的人（我們 TechCrunch 就有這樣的培訓）都知道，不要在未採取任何預防措施的情况下插入 U 盤。

對於 Spotify 的 U 盤，我們有點擔心，但倒沒有被嚇到。我們在一臺備用電腦上使用一次性版本的 Ubuntu Linux（通過 CD 運行）對 U 盤包含的內容進行了安全檢查，結果表明它是安全的，裡面只有一個音訊檔案，播放出來是一句話，“我是亞曆克斯·戈德曼（Alex Goldman），你剛剛被黑了。”

這個 U 盤是為 Spotify 的新播客打廣告的，不然還能是什麼呢？！

傑克·威廉姆斯（Jake Williams）是曾在美國國家安全局（NSA）任職的駭客，他還是資訊安全公司 Rendition Infosec 的創始人，他表示，Spotify 鼓勵記者把 U 盤插入自己的電腦，這一舉動堪稱 “無知無畏”。

U 盤並不天然跟惡意軟件聯系在一起，但它們被用於駭客攻擊活動也是名聲在外，而且通常是入侵那些不聯網的地方（比如發電廠和核濃縮工廠）。威廉姆斯說，U 盤中可能包含惡意軟件，它在被插入受害人的電腦後可以自動打開並安裝後門。

他還說，“U 盤上的檔案可能包含活動內容。” 這些內容在被打開後可能會對受感染設備上存在的漏洞加以利用。

Spotify 的發言人拒絕就此事發表評論，該公司把我們的置評請求移交給了為其服務的公關公司 Sunshine Sachs。後者也沒有發表評論，只是說 “所有記者都會收到一封有關此事的電郵聲明”。

在電腦插入來歷不明的 U 盤，這個問題可能比你想像的更為嚴重。穀歌的安全研究員埃利·比爾斯坦（Elie Bursztein）在自己的研究中發現，大約有一半的人會把來歷不明的 U 盤插入自己的電腦。

今年早些時候，農業機械公司約翰迪爾（John Deere）就用這樣的操作引起了騷動，該公司分發了用於宣傳推廣的 U 盤，其中包含了可在插入電腦後自動運行的腳本，劫持電腦的鍵盤，打開瀏覽器並自動輸入約翰迪爾的網址。儘管該公司本意不是拿 U 盤傳播惡意軟件，但他們的舉動還是遭到了廣泛責備，因為惡意軟件通常就是以自動腳本的形式運行的。

考慮到 U 盤可能構成的威脅，美國國土安全部（DHS）的網路安全部門 CISA 在上個月更新了有關 U 盤安全性的指導方針。記者是經常受到攻擊的對象，包括某些政府實施的定向網絡攻擊。

請記住：在處理 U 盤時請務必採取預防措施，除非你信任它，否則切勿插入。

題圖來源： Getty Images

翻譯：王燦均（@何無魚）

No, Spotify, you shouldn’t have sent mysterious USB drives to journalists