大量无线键盘存在KeySniffer漏洞,可嗅探用户输入

1

你知道吗,黑客可以在几十米的距离内劫持无线键盘的击键记录,从而嗅探出敏感数据,或者在击键数据中注入恶意命令。

Bastille安全公司首次发现了这一漏洞,并将其命名为KeySniffer。键盘的品牌市面上非常多,他们从中挑选了一些进行测试,发现有8个品牌的一些产品存在这一问题,存在问题的厂商可能不止这几家。它们分别是惠普、Anker、金士顿、RadioShack、Insignia、东芝、GE/Jasco和EagleTec。这些有问题的键盘收发器并未加密无线信号,也不支持固件更新,意味着无法修复此漏洞。

东芝使用的是Signia的无线收发器,GE/Jasco使用的是一家不知道名字的厂商,其余几家均使用的是MOSART的收发器。所有的收发器均使用缺乏安全标准的 2.4GHz ISM 无线带宽,意味着很可能其他品牌的无线键盘也有问题。

Bastille公司已经将这一问题报告给了相关厂商,但是没有一家厂商给予官方回复。

2

还记得那个轰动一时的MouseJack漏洞嘛,它也是Bastille公司发现的。攻击者借助无线鼠标上的漏洞,伪装成真正与电脑配对的鼠标,从而操控受害者电脑。

KeySniffer漏洞可以说是MouseJack漏洞的升级版,只不过KeySniffer不需要匹配设备就能够让黑客获取到无线键盘和USB适配器传输的数据。

所有无线键盘和USB适配器之间传输的数据均是明文的,没有任何加密措施,攻击者可以轻而易举的受害者输入的信息。而且,因为数据没有加密,攻击者还可以在数据流中注入他们自己的击键记录。

研究人员使用一个无人机玩具的控制器,然后写入新的固件和软件。由于无线键盘会定期发送无线信号包,不管是否有人在击键,因此攻击者可以扫描并锁定键盘,当有人开始击键时捕获信号,从而可以盗取口令、银行卡信息或其他敏感数据。甚至,攻击者可以发送击键信号安装恶意软件。

由于这些无线键盘不支持固件更新,所以便没办法修复这一漏洞。为了避免被黑客攻击,建议用户使用距离较短的蓝牙键盘或者有线键盘。

原创文章,作者:Moto,如若转载,请注明出处:http://www.mottoin.com/news/85265.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code