211service.com
Hur hackbart är ditt trådlösa tangentbord och din mus?
Några av datordonglarna som kommer med trådlösa tangentbord och mus kan erbjuda hackare ett ganska enkelt sätt att fjärråtkomst till och ta över din dator, enligt en ny rapport från Internet-of-things säkerhetsstartup Bastille.
Atlanta-baserad Bastille säger att det har fastställt att ett antal icke-Bluetooth trådlösa tangentbord och mus från sju företag – inklusive Logitech, Dell och Lenovo – har ett designfel som gör det enkelt för hackare från så långt som cirka 90 meter bort att para ihop med dongeln som dessa enheter använder för att låta dig interagera med din dator. En hackare kan göra saker som att kontrollera din dator eller lägga till skadlig programvara på maskinen.
Felet pekar på ytterligare ett potentiellt problem med det ständigt växande antalet anslutna enheter, även om det verkar fungera över en kort räckvidd och fortfarande verkar vara ett hypotetiskt problem.
I tester hittade företaget ett dussintal enheter som var mottagliga för felet, som det listar uppkopplad . De flesta av dem använder en rad sändare/mottagare gjorda av Nordic Semiconductor som stöder 128-bitars kryptering, säger Marc Newlin, en Bastille-ingenjör som hittade problemet, men det är upp till tillverkaren av tangentbord och mus att tillämpa det.
Bastille, som spårar skadliga Internet-of-things-aktiviteter genom att använda sensorer för att spåra de elektromagnetiska signaturerna för Internet-anslutna enheter, fastställde att även om data som överförs av trådlösa tangentbord tenderar att krypteras, krypterade ingen av musen som den testade sina klick. Även om de flesta tangentbord som företaget testade krypterar sina data innan de skickas till dongeln, krävde donglarna inte alltid att datan var krypterad. Båda dessa saker skulle göra det möjligt för en hackare att lura dongeln på ett offers dator att tro att hans fjärrklick och tangenttryckningar är legitima.
Newlin säger att eftersom varje trådlöst tangentbord eller mus har en unik radiofrekvensadress, skulle en hackare helt enkelt använda en billig USB-dongel att sniffa datapaketen som sänds mellan till exempel en mus och dongeln som är ansluten till dess dator för att ta reda på den adressen. Då kunde hackaren överföra tangenttryckningspaket till dongeln som om han var den rättmätige användaren av datorn.
Bastilles grundare och tekniska chef Chris Rouland säger att startupen lät företagen veta om de enheter som de fann vara sårbara, och de har mestadels varit mycket uppmärksamma på problemet. Vissa av produkterna kan göras säkrare med en enkel mjukvaruuppdatering till dongeln, men de flesta av dem kan inte patchas, säger han, så donglarna måste bytas ut.
I ett uttalande sa Logitechs tekniska chef, Asif Ahsan, att företaget kom på en programuppdatering för att åtgärda problemet. Men sårbarheten som Bastille upptäckte skulle vara komplex att replikera eftersom den kräver att man befinner sig fysiskt nära offret, sade han, vilket gör det till en svår och osannolik attackväg.
Såvitt vi vet har vi aldrig blivit kontaktade av någon konsument med ett sådant problem, tillade han.
En taleskvinna för Dell sa samtidigt att programvaran på en av de två berörda tangentbords- och musprodukterna kan patchas. En annan kommer att kräva att kunder kontaktar företagets tekniska support för att hitta en lämplig ersättare.
Och i en säkerhetsrådgivning som släpptes på tisdagen sa Lenovo att problemet, som påverkar ett trådlöst tangentbord, kommer att åtgärdas i nya enheter men att kunder med en befintlig version av enheten kan kontakta Lenovos kundsupport för en ersättning.