罗技无线鼠标键盘再现安全漏洞 黑客极易入侵

行业动态
分享至
评论

  罗技的无线和鼠标键盘的USB接收器惊现安全漏洞,随时令你部电脑被黑客入侵?近日有网络保安研究专家发现,罗技 无线鼠标和键盘的USB接收器有4个安全漏洞,可能容许黑客以犹如物理控制的方式侵入目标电脑。究竟漏洞出现原因何在?又有无解决方法?

罗技无线鼠标键盘再现安全漏洞 黑客极易入侵

  罗技的无线鼠标和键盘,跟市面上大部份无线电脑硬件一样,都运用到中文界俗称“软件狗”、“加密狗”的软件保护器。简单而言,USB Dongle是USB装置常备部份,通常是一粒细小的接收器,相信大家都应该认识。而罗技无线产品的保安漏洞,正正在于其应用Unifying无线技术的dongles中。

  外媒《The Verge》和《ZDNet》报导,网络保安研究员Marcus Mengs发现罗技无线产品的Unifying接收器存在安全漏洞,影响该厂牌旗下部份的无线鼠标、键盘和简报遥控器。Mengs在编程讨论区Github上分享了详尽研究报告,并已向罗技汇报了漏洞。

  他发现的这些漏洞,容许黑客试探键盘流量,“隔空”注入键击(情况是,连插入了电脑、却未连接到无线键盘的Unifying接收器也能骑劫)并接管接收器所连接的电脑。黑客还能记录鼠标的点选记录,从而控制目标电脑系统,将之当作发动点开展攻击。

  更严重的是,漏洞在技术上几乎防不胜防。当罗技产品使用加密来保护dongles跟其配对装置之间的连接时,这些漏洞还允许攻击者恢复加密密钥。此外,如果USB dongles使用“密钥黑名单”来阻止配对装置注入键击,漏洞更允许黑客绕过此度安全保护系统!

  Mengs识别出罗技的Unifying USB dongles/接收器存在的漏洞有4种,多数被黑客利用窃取或越过加密密钥,来进行物理入侵:

  CVE-2019-13052(捕获Unifying dongles和罗技无线装置之间的配对;恢复用于加密两个组件之间流量的密钥。黑客使用被盗钥匙,能够进行任意击键、远程窃听和实时解密键盘输入)

  CVE-2019-13053(即使黑客不知道加密密钥,也可通过此漏洞将键击注入USB dongles和罗技装置之间的加密通信流)CVE-2019-13054(因为USB dongles附带了无纪录的供应商命令,和不正确或不足的数据保护,使黑客可以轻松储存dongles上的加密密钥。)

THE END

数码评测