密码设 500 个字也没用,因为出卖你的是无线键盘!

浏览量:529 点赞:363 收藏:650 2020-07-04

密码设 500 个字也没用,因为出卖你的是无线键盘!

人生处处有(被)惊(打)喜(脸)。

不久前宅宅一篇 黑客教你设置一亿年都破解不了的密码 引来底下读者的欢呼,大家纷纷感谢小编提供的複杂密码「teabrownpicture4」,甚至当下表示已加入豪华字典。

万万没想到,费劲巴拉设置的密码竟然没用了!人生人生。

到底怎幺回事?

这可不是无稽之谈,雷锋网编辑最近就在外网上看到一则消息,一家监测网络安全公司 Bastille Network 发出警告称骇客可以黑进无线键盘。

实际上早在 2016 年二月份,这家公司就曾发现骇客可以在 100 公尺内攻击利用无线连接的键盘和滑鼠,并安装恶意软体或利用这些设备骇进用户的网路中。

而这次他们又发现了新情况,骇客可以在更远的範围(离目标 250 英呎,约 76.25 公尺)内黑进利用无线连接的键盘,并盗取你每一次敲击键盘的资讯。这意味着,他们不用跟你面对面就能轻鬆盗取你的密码、安全问题等隐私讯息。

试想一下,你吃着炸鸡喝着啤酒打开游戏,在无线键盘上登陆后点击加值,输入的帐号号和密码最后竟都落在别人手中……

密码设 500 个字也没用,因为出卖你的是无线键盘!

键盘在手,密码你有我也有

上述对话在游戏场景中很常见,而实际中需要加值的也远不止于此,比如看影片,看小说,看直播……此时,你被骇的无线键盘将变成那把能打开各个帐户的「万能钥匙」。

攻击者究竟如何骇掉你的无线键盘?在此之前,我们先了解一下无线键盘的工作原理。

无线键盘是採用 DRF(Digital radio frequency,数位无线电频率)技术来达到数据之间的转换,在用户按键按下或抬起按键的时候,讯息就转化为相应的射频消息,然后将消息发送给适配器。适配器在接收到消息之后,会将消息按照规则转化为用户的输入递交给电脑进行处理。

要知道,在我们使用电脑时,所有讯息输入媒介都是键盘,这其中就包括帐号密码等机密讯息,一旦攻击者採用键盘侦听,那用户输入的所有讯息都将洩露。

此时,任你设置「teabrownpicture4」这种需要骇客破解一亿年的密码都没用,攻击者可以直接拿到你输入的密码。另外,与传统的键盘侦听手段不同,直接监听射频消息的攻击过程十分隐秘,用户完全无法察觉。

也就是说,直到银行户头里的钱没了,你可能都不知道攻击者曾暗中搞到了你的帐号密码。

密码设 500 个字也没用,因为出卖你的是无线键盘!

没错,就是这种操作

听起来骇客通过嗅探甚至劫持存在漏洞的无线键鼠(MouseJack),从而控制受害者电脑这一过程似乎并不複杂,其具体是如何操作的?

来自 360 无线电安全研究部的雪碧 0xroot 告诉雷锋网编辑,要达到 MouseJack 的攻击通常分为三部分:

雪碧 0xroot 也表示,準确说,MouseJack 实现的并非是骇进用户电脑,而是利用了无线键鼠与插在电脑上的适配器它们之间无线通信没有採用加密,导致骇客可对一两百公尺範围内的无线键鼠进行流量嗅探、通信流量的劫持来控制存在漏洞的电脑。

也就是说,当你的无线键鼠存在这一漏洞,骇客便能利用这个漏洞「夺取」你的无线滑鼠键盘来控制你的电脑。

密码设 500 个字也没用,因为出卖你的是无线键盘!

而 Bastille Network 的安全研究人员也表示,他们测试了 12 个来自来自不同厂商的低价键盘, 发现包括东芝、惠普(HP)、Anker、EagleTec、Kensington、Insignia、Radio Shack 及 General Electric 八家品牌的无线键盘未对无线电进行加密,容易受到攻击。

猜猜这些品牌最低价的键盘在亚马逊(Amazon)上平均售价是多少? 19 美元(约为台币 600 元)。

没想到吧,贪了个小便宜竟然惹上骇客了。

密码设 500 个字也没用,因为出卖你的是无线键盘!

hmmmm 好像不用过于担心?

随着这一漏洞的曝光,吃瓜群众纷纷担忧起自己手中的无线键盘,瘫着都不开心了。

虽然听起来有点怕怕,不过也不用过度担心,毕竟无线键鼠採用 2.4GHz 的短距离无线传输(蓝牙、WiFi 使用的也是 2.4GHz 无线技术),黑客只能在离目标一定範围内进行攻击,比如你在家瘫着他可能就要蹲在你家门口操作。另外,无线信号传输距离的远近取决于天线的大小和功率,如果你有大功率的天线也许能突破一两百公尺的距离,但也有一定的距离限制。

密码设 500 个字也没用,因为出卖你的是无线键盘!

雪碧 0xroot 还告诉雷锋网编辑,MouseJack 的这个漏洞仅存在于使用了 Nordic 北欧无线芯片,且厂商未对无线通信採用加密技术的特定滑鼠键盘中。而那些有足够安全意识的厂商则通常会对无线通信进行加密传输,这样他们的无线键盘鼠标就不受这个漏洞的影响。

而目前这 8 家上榜的公司仅有做电脑周边产品的 Kensington 做出了回应。其发言人 Denise Nelson 称目前他们正在与 Bastille Network 合作,採取措施来弥补,并称新出的无线键盘将对键盘进行加密,但对于已发布投入使用的无线键盘加密情况,其表示并不了解。

hmmmm,如果不幸躺枪,使用的无线键盘正是上榜的这 8 家公司产品,那就……X 了个 X?

密码设 500 个字也没用,因为出卖你的是无线键盘!

上一篇: 下一篇:

相关推荐