close
企業趨勢資訊保安

廉價無線鍵盤現安全漏洞 黑客網購天線即可隔空監聽

電腦無線設備屢現安全漏洞,繼早前 Unwire.pro 報導過的偽裝充電器 KeySweeper 鍵盤監聽裝置MouseJack (滑鼠騎劫)遠距離入侵攻擊,近日電腦保安公司 Bastille 再揭露廉價無線設備的安全漏洞。該公司透過自行研發的 Keysniffer 程式配合網購的訊號轉發器,即可掃描到百米範圍內具安全漏洞的無線鍵盤,並隔空監聽用戶輸入的所有資料。

KeySniffer Topic

 

黑客隔空監聽你鍵盤 百米之內漏洞裝置無所遁形

受影響的無線鍵盤主要是使用了非藍牙的廉價訊號收發晶片,這類裝置基於無線射頻訊號來連接 USB 訊號收發裝置與鍵盤,但其中的訊號傳輸未有經過安全加密,因此能輕易被 KeySniffer 程式截取監聽。

Bastille 的安全研究員 Marc Newlin 在示範影片中演示監聽過程,從影片中可見,利用 KeySniffer 程式再配合在網購平台購買的 USB 無線訊號轉發裝置,攻擊者即可掃描附近有安全漏洞的無線鍵盤,並監聽用戶在該鍵盤上輸入的資料,意味著受攻擊者有可能洩漏身份證明、銀行賬號密碼或信用卡資料等敏感資料。

一如過往揭露 MouseJack 攻擊方式,Bastille 方面在發現漏洞後已向相關廠商通報,而攻擊亦僅作為研究之用,因此不會對外釋出攻擊程式,但不排除其他黑客亦能研發出類似程式的可能性。

 

安全人員建議轉用有線或藍牙鍵盤

據悉,配合無線訊號轉發裝置的 Keysniffer 可掃描並監聽百米範圍內的漏洞裝置,HP、Toshiba、Anker、EagleTec、General Eletric、Insignia、Kensington、Radio Shack 八間廠商均有無線鍵盤受安全漏洞影響,Marc Newlin 在影片中建議用戶可使用有線鍵盤或藍牙無線鍵盤。

其中一間受影響產品的廠商 Kensington 則回應指,目前僅得一款無線鍵盤受 Keysniffer 所利用的安全漏洞影響,並已釋出 AES 加密的更新韌體供用戶使用。

 

Source:  Bastille   The Hacker News 

 

Tags : securityWireless keyboard
Ken Li

The author Ken Li

世事洞明皆學問,人情練達即文章。