En sårbarhed i billig trådløse tastaturer lader hackere stjæler private oplysninger,
Bastille rapporterede i denne uge.
Sårbarheden lader hackere bruger et nyt angreb den faste døbt “KeySniffer” for at aflytte og optage et hvert tastetryk, der skrives på op til 250 meter væk.
De stjålne data er gengivet i klar tekst. Det lader hackere søge efter ofre ” kredit kort, bank konto, brugernavne og passwords, svar til sikkerhed, spørgsmål, netværk, få adgang til adgangskoder, og alle data er skrevet ind i et dokument eller en e-mail.
“Næsten alle de legitimationsoplysninger har værdi for hackere,” bemærkede Tom Clare, vice president for marketing hos
Gurucul.
“Kapret eller kompromitteret access credentials til corporate cloud “er nøglerne til riget,” fortalte han TechNewsWorld.
“KeySniffer viser, at så mange som to tredjedele af de lavere omkostninger trådløse tastaturer på markedet i øjeblikket implementere kryptering overhovedet, og efterlade dem sårbare over for passiv tastetryk snuse og injektion,” bemærkede Bastille Marc Blood.
Påvirket tastaturer er lavet af otte virksomheder: HP, Toshiba, Kensington, Emblemer, Radio Shack, Anker, General Electric og EagleTec.
KeySniffer Tilgang
Den sårbare tastaturer opdages let, som de USB-dongles, som de bruger, er altid sender synkronisering pakker til lad tastaturet finde dem, hvorvidt eller ikke de er i brug. Det muligt for en hacker hjem i dem hurtigt.
Sync-pakker indeholder den unikke identifikator for tastaturet eller dongle.
Når en sårbar tastaturet, er identificeret, hacker bruger id til at filtrere trådløse transmissioner, for de tastetryk, der sendes af mål tastatur.
Hackere, der ikke kun kan stjæle data, men også kan injicere tastetryk til at skrive eksternt på en sårbar computer, installere malware eller stjæle data, Blood fortalte TechNewsWorld.
Trådløst tastatur, sniffere, er ikke nye. Forskere ved
Remote Exploit i 2009 udviklet KeyKeriki, en open source hardware/software-projekt, at lade brugerne afkode Microsoft wireless keyboard.
Hacker Samy Kamkar to år siden udviklede
KeySweeper, et proof-of-concept hardware/software tastetryk logger forklædt som en USB-oplader, som angrebet nogen i nærheden Microsoft wireless keyboard.
FBI dette forår
der er udstedt en advarsel om, KeySweeper-lignende enheder.
Tastaturer sårbare over for KeyKeriki og KeySweeper angreb udelukkende bruge Nordic Semiconductor nRF 241 transceivere, der har en veldokumenteret fysiske lag-protokollen. De sender radio pakker kun når den er i brug.
Tastaturer sårbare over for KeySniffer “bruge tre forskellige transceivere ikke er lavet af Nordic Semiconductor,” Blood påpeget.
Kryptering Hjælper
Højere-end-tastaturer er ikke sårbare, fordi de “ofte bruger transceivere fra Nordic Semiconductor, som har indbygget support for 128-bit AES-kryptering,” Blood bemærkede. “Uanset om eller ikke den kryptering, der bruges er op til hver enkelt leverandør, men i almindelighed, [det er].”
Bluetooth keyboard er ikke modtagelige, fordi Bluetooth krypterer alle data, der overføres via luften, Blood er angivet.
“Hvis sikkerhed er et problem, sørg for, at tastaturet du køber anvender en krypteret forbindelse,” siger Michael Jude, et program manager på Stratecast/Frost & Sullivan.
For de fleste applikationer, men “billigt, vil arbejde,” fortalte han TechNewsWorld, men man skal være opmærksom på, hvor tastaturet er placeret. “I front af en større færdselsåre-mod vinduet ikke kan være godt.”
Beskyttende Foranstaltninger
“Vores bedste viden, at ingen af de berørte tastaturer kan blive lappet, og den sikreste løsning er at skifte ud til et Bluetooth-tastatur-eller endnu bedre, et kabeltilsluttet tastatur,” Blood sagde.
“For det første, ikke bruge den samme adgangskode på flere konti,” Gurucul er Clare anbefales. “For det andet, skal du aktivere multifactor authentication, såsom en adgangskode til din smartphone eller ekstra spørgsmål med svar, som kun du kender. For det tredje ser for rapportering eller konto-profil, der viser din adgang og aktivitet, så du kan gennemgå det, for unormale begivenheder.”
Richard Adhikari har skrevet om high-tech for branchens førende publikationer siden 1990’erne, og vidundere, hvor det hele fører til. Vil implanteret RFID-chips i mennesker være Dyrets Mærke? Vil nanotech løse vores kommende fødevarekrise? Gør Stør ‘ s Lov, der stadig holder stik? Du kan forbinde med Richard på
Google+.