键盘成为资安破口并非什么鲜事,我们每过一阵子就会听到骇客透过 Keylogger 击键记录器窃取使用者帐密的新闻事件。但骇客想让 Keylogger 发挥作用,还是得经过一连串钓鱼邮件 / 网站,以及引诱受害者下载恶意程式或点取恶意连结等手法才能办得到。
如今知名电竞周边商品潮牌商 Raser 雷蛇与 SteelSeries 旗下键盘 / 鼠标自订软件,竟不约而同地被发现零时差漏洞,该漏洞可以让任何人都可以获得系统最高存取权限,有心人可借此安装任何程式,不仅会有帐密及其他机密资料外泄的风险,也有沦为僵尸电脑的可能性。
在 Twitter 上取名 jonhat 的安全研究人员表示,他们将 Razer 周边装置连接上 Windows 10 PC 之后,使用者便立即获得该电脑的完全系统权限。换言之,任何人都可透过这样的动作,获得一台 Windows PC 的最高存取权限,然后安装任何想要的程式,包括 Keylogger、Bot、木马或间谍软件等恶意软件。
根据美国资安新闻网站《BleepingComputer》的实测,从连接 Razer 鼠标到获取完全 Windows 10 系统权限只花了 2 分钟就搞定。使用者只要一安插鼠标,就会自动安装好驱动程式与 Synapse 设定软件。对于 Razer 粉丝而言,Synapse(目前为 2.0 版)是个熟悉又好用的工具程式,可以方便指定宏并将设定自动储存云端。
明明是竞争对手的 SteelSeries,竟然也出现相同尴尬的局面,其旗下可用来改变光源效果与设定宏的 Engine 应用程序也潜藏相似的安全漏洞。一旦安插 SteelSeries 键盘,使用者可以 Windows 10 命令列提示字元存取完全的管理权限。
Raser 目前决定变更系统会安装的应用程序,以限制上述使用状况的发生,并会在近期释出更新版,让今后的软件在使用上不会允许未授权的第三方存取任何电脑。至于 SteelSeries 会主动将新装置一连上的应用程序自动触发安装动作关闭。
- Popular Keyboard Software Can Be Used to Exploit Your PC
(首图来源:Raser & SteelSeries)
