修改SSD预留空间难被侦测恶意软件入侵可持续存活

为了提升SSD的运作效能，生产商会在储存设备内预留约7至25%空间，以自动执行分配储存资源工作。不过，这些空间由于无法被用家及防毒工具存取，因此只要黑客控制，便可在内里埋下无法被轻易侦测及铲除的恶意软件。南韩高丽大学安全研究员便发现两个可被利用的漏洞，呼吁SSD制造商Micron Technology尽快解决问题。

SSD 制造商 Micron Technology 的产品配备一个名为 Flex Capacity 的功能，它的作用是会自动调整存储设备内的原始及用家可使用的存储空间比例，以提升数据的储存效率及运作效能。而这个用于自动调整的预留空间（over-provisioning），一般会占总存储空间的7至25%。由于厂方需要确保这个预留空间去执行优化工作，因此会隐身于用家及防毒软件可接触的范围。而高丽大学安全研究员发现的两种针对SSD攻击方式，便是利用这空间去盗取机密资料及安装恶意软件，后者更可持续在系统中生存，极难被发现及铲除。

研究员就第一种入侵方法作出解释，他们指SSD制造商倾向不会铲除储存设备内的无效数据，甚至让它们继续保留在储存设备内多个月。而这些数据会被闲置在用家可使用储存空间及预留空间之间，内里有可能藏着各种机密资料。研究员说只要黑客成功入侵系统，便可以使用 SSD 的系统工具修改预留空间比例，将这些机密数据纳入其中，从而便能读取这些数据。

另一种入侵方式则瞄准连接在一起的双 SSD 储存设备进行攻击，黑客通过操控两个 SSD 的预留空间比例，让恶意软件可以顺利在其中一个 SSD 内安装。研究员解释，假设两个SSD的预留空间均为50%，当黑客将恶意软件储存于其中一个SSD的用家可使用部分后，黑客便可通过修过两个SSD的预留空间比例，例如将藏有恶意软件的SSD的预留空间提升至75%，另一个干净的SSD则减少至25%，这时因为恶意软件已被纳入75%的预留空间范围，黑客便可执行安装而不为防毒软件所发现，其后便能一直存活于这个 SSD 的预留空间之中。

研究员指出，监测SSD的预留空间内有否可疑行动不单只非常花时间，而且亦要非常高的鉴证技术，因此一般用家很难发现是否已被入侵。他们建议SSD生产商应改用不会影响存取效能的算法去取代预留空间这种效能管理模式，令防毒软件可监测整个SSD访问范围。另外亦应为管理系统加入数据监察技术，清晰掌握有效及无效数据的储存比例，如发现无效数据所占比例大幅升高，便有可能正有恶意行为发生，令用家可以提高警觉。