廉價無線鍵盤出現安全漏洞,駭客網購天線即可隔空監聽

作者 | 發布日期 2016 年 08 月 01 日 8:49 | 分類 網路 , 資訊安全 , 鍵盤滑鼠 follow us in feedly
unwire.pro 配圖

電腦無線設備屢現安全漏洞,繼早前 Unwire.pro 報導過的偽裝充電器 KeySweeper 鍵盤監聽裝置MouseJack 遠距離入侵攻擊,近日電腦保安公司 Bastille 再揭露廉價無線設備的安全漏洞。該公司透過自行研發的 Keysniffer 程式配合網購的訊號轉發器,即可掃描到百米範圍內具安全漏洞的無線鍵盤,並隔空監聽用戶輸入的所有資料。



受影響的無線鍵盤主要是使用了非藍牙的廉價訊號收發晶片,這類裝置基於無線射頻訊號來連接 USB 訊號收發裝置與鍵盤,但其中的訊號傳輸未有經過安全加密,因此能輕易被 KeySniffer 程式截取監聽。

Bastille 的安全研究員 Marc Newlin 在示範影片中演示監聽過程,從影片中可見,利用 KeySniffer 程式再配合在網購平台購買的 USB 無線訊號轉發裝置,攻擊者即可掃描附近有安全漏洞的無線鍵盤,並監聽用戶在該鍵盤上輸入的資料,意味著受攻擊者有可能洩漏身分資料、銀行帳號密碼或信用卡資料等。

一如過往揭露 MouseJack 攻擊方式,Bastille 在發現漏洞後已向相關廠商通報,而攻擊亦僅做為研究之用,因此不會對外釋出攻擊程式,但不排除其他駭客能研發出類似程式的可能性。

 

安全人員建議轉用有線或藍牙鍵盤

據悉,配合無線訊號轉發裝置的 Keysniffer 可掃描並監聽百米範圍內的漏洞裝置,HP、Toshiba、Anker、EagleTec、General Eletric、Insignia、Kensington、Radio Shack 8 間廠商均有無線鍵盤受安全漏洞影響,Marc Newlin 在影片中建議用戶可使用有線鍵盤或藍牙無線鍵盤。

其中一間受影響產品的廠商 Kensington 則回應,目前僅得知一款無線鍵盤受 Keysniffer 所利用的安全漏洞影響,並已釋出 AES 加密的更新韌體供用戶使用。

(本文由 Unwire Pro 授權轉載) 

關鍵字: , , ,

發表迴響