無所不在的漏洞:你的無線鍵盤可能並不安全


如果你使用無線鍵盤,那你可能需要注意一下了。最近,網絡安全公司 Bastille 發佈了一份研究,認為市場上一些備受歡迎的無線鍵盤並不安全。通過適當的工具,黑客們可以截取用户輸入的文字、密碼、卡號,甚至向電腦祕密地輸入數據。

通常來説,無線鍵盤會把用户的數據加密。這樣的話,即使黑客截取了數據流,得到的也是一些無法解析的亂碼,但是,有時候這種加密並不靠譜。去年,一位安全研究員曾在微軟的無線鍵盤上發現了漏洞,並且製造了一個破解加密數據的設備。Bastille 的研究員 Marc Newlin 發現了更加令人震驚的事情。在研究惠普、東芝等品牌的 12 款備受歡迎的無線鍵盤時,他發現,多數鍵盤沒有對數據傳輸做任何加密。


一開始,Newlin 對無線鍵盤的接收器進行了逆向工程,以了解它們是如何傳輸數據的。“我覺得,這應該是第一步工作,” 他接受 Atlantic 網站採訪時説,“結果,在完成這一步後,你看吧,所有的擊鍵數據都是以明文傳輸的,根本沒有加密。”

這意味着,黑客可以從 250 英尺外監控用户輸入的任何東西,而用户對此毫不知情。黑客還可以向計算機發送虛假信號,讓它誤認為鍵盤正在輸入。要進行這種攻擊,黑客並不需要太昂貴的設備。Newlin 只用了個 40 美元的信號接收器(控制無人機的),以及 50 美元的天線,以擴展接收範圍。他把這套工具稱作 KeySniffer,能夠很方便地找到有漏洞的無線鍵盤。


值得注意的是,KeySniffer 只能影響低端、便宜的無線鍵盤。Bastille 的專家説,這些鍵盤上的安全漏洞是無法彌補的。如果你重視安全問題,唯一的辦法就是換成藍牙連接或者有線連接的鍵盤,因為 KeySniffer 對它們無能為力。

在公開此項信息之前,Bastille 已經通知了鍵盤生產商,給了它們 3 個月的時間修復問題,不過,大多數廠商都沒有什麼反饋。對此,Bastille 的首席營收官 Ivan O’Sullivan 表示了失望。

目前,Bastille 已經公佈了自己的發現,但沒有把 KeySniffer 代碼公開。不過,類似的工具很可能已經存在了。“Marc 是個超級聰明的傢伙,” Ivan O’Sullivan 説,“但他是唯一能夠寫出這些代碼的人嗎?不是。這類工具是否被髮布了?我們還不知道。如果一個聰明人能完成這件事情,誰能擔保説其他人不會做到?”

題圖來自 digitaltrends


資料來源:愛範兒(ifanr)

如果喜歡我們的文章,請即分享到︰