電腦無線設備屢現安全漏洞,繼早前 Unwire.pro 報導過的偽裝充電器 KeySweeper 鍵盤監聽裝置及 MouseJack (滑鼠騎劫)遠距離入侵攻擊,近日電腦保安公司 Bastille 再揭露廉價無線設備的安全漏洞。該公司透過自行研發的 Keysniffer 程式配合網購的訊號轉發器,即可掃描到百米範圍內具安全漏洞的無線鍵盤,並隔空監聽用戶輸入的所有資料。
黑客隔空監聽你鍵盤 百米之內漏洞裝置無所遁形
受影響的無線鍵盤主要是使用了非藍牙的廉價訊號收發晶片,這類裝置基於無線射頻訊號來連接 USB 訊號收發裝置與鍵盤,但其中的訊號傳輸未有經過安全加密,因此能輕易被 KeySniffer 程式截取監聽。
Bastille 的安全研究員 Marc Newlin 在示範影片中演示監聽過程,從影片中可見,利用 KeySniffer 程式再配合在網購平台購買的 USB 無線訊號轉發裝置,攻擊者即可掃描附近有安全漏洞的無線鍵盤,並監聽用戶在該鍵盤上輸入的資料,意味著受攻擊者有可能洩漏身份證明、銀行賬號密碼或信用卡資料等敏感資料。
一如過往揭露 MouseJack 攻擊方式,Bastille 方面在發現漏洞後已向相關廠商通報,而攻擊亦僅作為研究之用,因此不會對外釋出攻擊程式,但不排除其他黑客亦能研發出類似程式的可能性。
安全人員建議轉用有線或藍牙鍵盤
據悉,配合無線訊號轉發裝置的 Keysniffer 可掃描並監聽百米範圍內的漏洞裝置,HP、Toshiba、Anker、EagleTec、General Eletric、Insignia、Kensington、Radio Shack 八間廠商均有無線鍵盤受安全漏洞影響,Marc Newlin 在影片中建議用戶可使用有線鍵盤或藍牙無線鍵盤。
其中一間受影響產品的廠商 Kensington 則回應指,目前僅得一款無線鍵盤受 Keysniffer 所利用的安全漏洞影響,並已釋出 AES 加密的更新韌體供用戶使用。
Source: Bastille The Hacker News