不，Spotify，您不应该向记者发送神秘的USB驱动器

 
上周，Spotify向记者发送了许多USB驱动器，并注明：“ Play me”。
记者在帖子中收到USB驱动器并不少见。公司一直在分发USB驱动器，包括在技术会议上，这些驱动器通常包含宣传材料或大文件(例如视频，否则很难尽可能多地投入到视频中)。
但是，任何受过基本安全培训的人(我们在TechCrunch都可以做到)将知道，切勿在未采取任何预防措施的情况下插入USB驱动器。
出于担忧，但没有犹豫，我们在备用计算机上使用了一次性版本的Ubuntu Linux(使用实时CD)安全地检查了驱动器的内容。我们检查了驱动器，发现它是良性的。
在驱动器上是一个音频文件。文件播放到：“这是亚历克斯·戈德曼，你刚刚被黑了。”
该驱动器只是对新Spotify播客的促销。当然是因为。
国家安全局前黑客，Rendition Infosec的创始人杰克·威廉姆斯(Jake Williams)称此举“令人耳目一新”，以鼓励记者将驱动器插入计算机。
USB驱动器并不是天生的恶意软件，但已知可用于黑客攻击活动(例如发电厂和核浓缩厂)，这些活动通常不连接到Internet。威廉姆斯说，USB驱动器可能包含恶意软件，这些恶意软件可以在受害者的计算机上打开并安装后门。
他说：“ USB本身上的文件可能包含活动内容。打开时，该内容可以利用受影响设备上的错误。
Spotify的发言人没有发表评论。相反，它将我们的请求传递给了为Spotify工作的公共关系公司Sunshine Sachs，该公司除了对“所有记者都收到一封电子邮件，表明这已经在进行中”之外，不对记录发表评论。
插入随机USB驱动器比您想象的要大得多。 Google安全研究员Elie Bursztein在他自己的研究中发现，大约有一半的人将随机的USB驱动器插入计算机。
约翰·迪尔(John Deere)今年早些时候发布了一个促销活动，主动劫持了计算机的键盘，引起了轩然大波。该驱动器包含的代码在插入后运行脚本，打开浏览器并自动在公司网站中键入。尽管该驱动器并不是天生的恶意软件，但由于恶意软件通常以自动脚本方式运行，因此此举遭到了广泛批评。
考虑到USB驱动器可能构成的威胁，国土安全部网络安全部门CISA上个月更新了有关USB驱动器安全性的指南。某些政府经常将记者作为目标人物，其中包括有针对性的网络攻击。
切记：处理USB驱动器时，请务必采取预防措施。除非您信任它，否则切勿插入。