“鍵盤(pán)的好壞決定你在游戲中是輸是贏。”
如果你是游戲玩家,對(duì)上面這句話(huà)一定感同身受。
但是有沒(méi)有想過(guò),你的鍵盤(pán)也可能出賣(mài)你!
一款流行的104鍵Mantistek GK2機(jī)械游戲鍵盤(pán),售價(jià)高達(dá)49.66歐元,卻被發(fā)現(xiàn)悄悄記錄用戶(hù)輸入的內(nèi)容,然后發(fā)送到阿里云的服務(wù)器。
根據(jù)Tom’s Hardware的描述,Mantistek鍵盤(pán)會(huì)使用“云驅(qū)動(dòng)”軟件, 軟件手機(jī)的可能是用來(lái)分析的數(shù)據(jù),但是實(shí)際涉及到的是一些敏感信息。
仔細(xì)分析后,Tom’s Hardware團(tuán)隊(duì)發(fā)現(xiàn),Mantistek鍵盤(pán)沒(méi)有真正完整的鍵盤(pán)記錄器,不過(guò)它會(huì)記錄按鍵被按了多少次,然后把數(shù)據(jù)傳回服務(wù)器。
事件起初是在某論壇由玩家爆料發(fā)現(xiàn),他們上傳了相關(guān)的截圖,截圖中的信息顯示,用戶(hù)的明文輸入被記錄下來(lái),傳到了中國(guó)的服務(wù)器,IP為47.90.52.88。
安全隱患太大
即便意圖并非惡意,在用戶(hù)沒(méi)有同意的情況下收集上傳擊鍵數(shù)據(jù)也是不對(duì)的,并且可能泄露敏感信息,威脅系統(tǒng)安全。
由于阿里巴巴有云服務(wù)器業(yè)務(wù),因此服務(wù)器位于阿里云并不代表阿里巴巴有涉及事件,相反,很有可能是廠(chǎng)商在阿里云租用了服務(wù)器。
如果打開(kāi)這個(gè)IP地址我們會(huì)看到一個(gè)中文的登錄頁(yè)面,顯示“云鼠標(biāo)平臺(tái)后臺(tái)管理系統(tǒng)”,由深圳市賽盟特科技有限公司維護(hù)。
據(jù)稱(chēng)MantisTek的鍵盤(pán)會(huì)把數(shù)據(jù)傳輸?shù)较旅鎯蓚€(gè)地址:
/cms/json/putkeyusedata.php
/cms/json/putuserevent.php
安全建議
如果你不希望被MantisTek泄露信息,就先別使用這款鍵盤(pán)。
如果萬(wàn)不得已,就先不要使用MantisTek的云驅(qū)動(dòng)軟件,并且在防火墻里把CMS.exe屏蔽。
京公網(wǎng)安備 11010502049343號(hào)