如果你使用無線鍵盤,那你可能需要注意一下了。最近,網絡安全公司 Bastille 發布了一份研究,認為市場上一些備受歡迎的無線鍵盤并不安全。通過適當的工具,黑客們可以截取用戶輸入的文字、密碼、卡號,甚至向電腦秘密地輸入數據。
通常來說,無線鍵盤會把用戶的數據加密。這樣的話,即使黑客截取了數據流,得到的也是一些無法解析的亂碼,但是,有時候這種加密并不靠譜。去年,一位安全研究員曾在微軟的無線鍵盤上發現了漏洞,并且制造了一個破解加密數據的設備。Bastille 的研究員 Marc Newlin 發現了更加令人震驚的事情。在研究惠普、東芝等品牌的 12 款備受歡迎的無線鍵盤時,他發現,多數鍵盤沒有對數據傳輸做任何加密。
一開始,Newlin 對無線鍵盤的接收器進行了逆向工程,以了解它們是如何傳輸數據的。“我覺得,這應該是第一步工作,” 他接受 Atlantic 網站采訪時說,“結果,在完成這一步后,你看吧,所有的擊鍵數據都是以明文傳輸的,根本沒有加密。”
這意味著,黑客可以從 250 英尺外監控用戶輸入的任何東西,而用戶對此毫不知情。黑客還可以向計算機發送虛假信號,讓它誤認為鍵盤正在輸入。要進行這種攻擊,黑客并不需要太昂貴的設備。Newlin 只用了個 40 美元的信號接收器(控制無人機的),以及 50 美元的天線,以擴展接收范圍。他把這套工具稱作 KeySniffer,能夠很方便地找到有漏洞的無線鍵盤。
值得注意的是,KeySniffer 只能影響低端、便宜的無線鍵盤。Bastille 的專家說,這些鍵盤上的安全漏洞是無法彌補的。如果你重視安全問題,唯一的辦法就是換成藍牙連接或者有線連接的鍵盤,因為 KeySniffer 對它們無能為力。
在公開此項信息之前,Bastille 已經通知了鍵盤生產商,給了它們 3 個月的時間修復問題,不過,大多數廠商都沒有什么反饋。對此,Bastille 的首席營收官 Ivan O’Sullivan 表示了失望。
目前,Bastille 已經公布了自己的發現,但沒有把 KeySniffer 代碼公開。不過,類似的工具很可能已經存在了。“Marc 是個超級聰明的家伙,” Ivan O’Sullivan 說,“但他是唯一能夠寫出這些代碼的人嗎?不是。這類工具是否被發布了?我們還不知道。如果一個聰明人能完成這件事情,誰能擔保說其他人不會做到?”
京公網安備 11010502049343號