我最近从 AliExpress 的一位商家那里购买了几款 Arduino Nano v3 克隆产品。每款售价约 2.00 美元。我知道它们可能会在收到时损坏或无法正常工作。
然而,我的一个朋友担心,当我尝试对它们进行编程时,它们可能会感染或损坏我的电脑。这有可能吗?如果是这样,我可以采取什么预防措施?刻录不同的引导加载程序会有帮助吗?
答案1
您不应该插入您不信任的设备。就这样。
多年来,有许多黑客攻击涉及自动播放 USB 记忆棒,因此他们可以模仿 USB 存储设备并尝试让您的机器运行可执行文件。
更进一步,它们还可以作为 USB 键盘出现在操作系统中,并发出按键来手动运行来自互联网或存储在设备上的可执行文件。
在更邪恶、更具破坏性的攻击中,插入 USB 设备可能会访问通过调试接口直接连接CPU并在您不知情的情况下直接注入漏洞代码。
如果您不信任它们,并且不知道硅片本身是否被篡改,那么您就无法做任何事情来让它们值得信任。
虽然引导加载程序可以重新刷新,但许多设备(例如该设备)可能在硅片本身中有一个备用引导加载程序,如果基于闪存的引导加载程序损坏,它会返回到该引导加载程序。如果该引导加载程序在硅片工厂被更改,那么您已经失败了。