如果你使用無線鍵盤,那你可能需要注意一下了。最近,網絡安全公司 bastille 釋出了一份研究,認為市場上一些備受歡迎的無線鍵盤并不安全。通過适當的工具,黑客們可以截取使用者輸入的文字、密碼、卡号,甚至向電腦秘密地輸入資料。
通常來說,無線鍵盤會把使用者的資料加密。這樣的話,即使黑客截取了資料流,得到的也是一些無法解析的亂碼,但是,有時候這種加密并不靠譜。去年,一位安全研究員曾在微軟的無線鍵盤上發現了漏洞,并且制造了一個破解加密資料的裝置。bastille 的研究員 marc newlin 發現了更加令人震驚的事情。在研究惠普、東芝等品牌的 12 款備受歡迎的無線鍵盤時,他發現,多數鍵盤沒有對資料傳輸做任何加密。
一開始,newlin 對無線鍵盤的接收器進行了逆向工程,以了解它們是如何傳輸資料的。“我覺得,這應該是第一步工作,” 他接受 atlantic 網站采訪時說,“結果,在完成這一步後,你看吧,所有的擊鍵資料都是以明文傳輸的,根本沒有加密。”
這意味着,黑客可以從 250 英尺外監控使用者輸入的任何東西,而使用者對此毫不知情。黑客還可以向計算機發送虛假信号,讓它誤認為鍵盤正在輸入。要進行這種攻擊,黑客并不需要太昂貴的裝置。newlin 隻用了個 40 美元的信号接收器(控制無人機的),以及 50 美元的天線,以擴充接收範圍。他把這套工具稱作 keysniffer,能夠很友善地找到有漏洞的無線鍵盤。
值得注意的是,keysniffer 隻能影響低端、便宜的無線鍵盤。bastille 的專家說,這些鍵盤上的安全漏洞是無法彌補的。如果你重視安全問題,唯一的辦法就是換成藍牙連接配接或者有線連接配接的鍵盤,因為 keysniffer 對它們無能為力。
在公開此項資訊之前,bastille 已經通知了鍵盤生産商,給了它們 3 個月的時間修複問題,不過,大多數廠商都沒有什麼回報。對此,bastille 的首席營收官 ivan o’sullivan 表示了失望。
目前,bastille 已經公布了自己的發現,但沒有把 keysniffer 代碼公開。不過,類似的工具很可能已經存在了。“marc 是個超級聰明的家夥,” ivan o’sullivan 說,“但他是唯一能夠寫出這些代碼的人嗎?不是。這類工具是否被釋出了?我們還不知道。如果一個聰明人能完成這件事情,誰能擔保說其他人不會做到?”
====================================分割線================================
本文轉自d1net(轉載)