电脑无线设备屡现安全漏洞,继早前 Unwire.pro 报导过的伪装充电器 KeySweeper 键盘监听装置及MouseJack 远距离入侵攻击,近日电脑保安公司 Bastille 再揭露廉价无线设备的安全漏洞。该公司透过自行研发的 Keysniffer 程式配合网购的讯号转发器,即可扫描到百米范围内具安全漏洞的无线键盘,并隔空监听用户输入的所有资料。
受影响的无线键盘主要是使用了非蓝牙的廉价讯号收发芯片,这类装置基于无线射频讯号来连接 USB 讯号收发装置与键盘,但其中的讯号传输未有经过安全加密,因此能轻易被 KeySniffer 程式截取监听。
Bastille 的安全研究员 Marc Newlin 在示范影片中演示监听过程,从影片中可见,利用 KeySniffer 程式再配合在网购平台购买的 USB 无线讯号转发装置,攻击者即可扫描附近有安全漏洞的无线键盘,并监听用户在该键盘上输入的资料,意味着受攻击者有可能泄漏身份资料、银行账号密码或信用卡资料等。
一如过往揭露 MouseJack 攻击方式,Bastille 在发现漏洞后已向相关厂商通报,而攻击亦仅做为研究之用,因此不会对外释出攻击程式,但不排除其他骇客能研发出类似程式的可能性。
安全人员建议转用有线或蓝牙键盘
据悉,配合无线讯号转发装置的 Keysniffer 可扫描并监听百米范围内的漏洞装置,HP、Toshiba、Anker、EagleTec、General Eletric、Insignia、Kensington、Radio Shack 8 间厂商均有无线键盘受安全漏洞影响,Marc Newlin 在影片中建议用户可使用有线键盘或蓝牙无线键盘。
其中一间受影响产品的厂商 Kensington 则回应,目前仅得知一款无线键盘受 Keysniffer 所利用的安全漏洞影响,并已释出 AES 加密的更新固件供用户使用。
- KeySniffer Lets Hackers Steal Keystrokes from Wireless Keyboards
(本文由 Unwire Pro 授权转载)