必讀:Windows 7與Windows 10:這是一個(gè)很大的推動(dòng)
富士通無線鍵盤模型易受擊鍵注入攻擊
富士通將發(fā)布補(bǔ)丁的可能性很小。
圖像:SySS GmbH
德國鋼筆測(cè)試公司SySS GmbH今天透露,富士通LX無線鍵盤容易受到擊鍵注射的影響。
安全
'100個(gè)獨(dú)特的漏洞和計(jì)數(shù)'用于最新的WinRAR安全漏洞
網(wǎng)絡(luò)安全:不要讓小東西給你帶來大問題
為什么安全性是企業(yè)云采用的首要障礙[混合云電視]
紅隊(duì)幫助保護(hù)開源軟件
攻擊允許威脅演員將無線電信號(hào)發(fā)送到鍵盤的接收器(USB加密狗),并在用戶的計(jì)算機(jī)上注入流氓鍵盤按下。
富士通已收到此漏洞的通知,但尚未發(fā)布任何固件補(bǔ)丁。
開發(fā)人員錯(cuò)誤導(dǎo)致的錯(cuò)誤
在今天發(fā)布的一份報(bào)告中,SySS GmbH安全研究員Matthias Deeg表示,該漏洞不是由鍵盤及其USB接收器使用弱密碼術(shù)引起的。實(shí)際上,這兩個(gè)組件通過適當(dāng)安全的通信通道工作。
相反,該缺陷僅存在于USB接收器中,除了接受鍵盤的加密通信外,還接受未加密的數(shù)據(jù)包,這些數(shù)據(jù)包使用的是Fujitsu開發(fā)人員似乎留在USB加密狗上的演示設(shè)計(jì)套件中描述的格式。
此外,Deeg說,如果這次擊鍵注入攻擊還與他在2016年報(bào)道的另一個(gè)舊的富士通無線鍵盤“重放攻擊”配對(duì),威脅演員可以“遠(yuǎn)程攻擊具有活動(dòng)屏幕鎖定的計(jì)算機(jī)系統(tǒng)”,并且看似安全的惡意軟件系統(tǒng)。
在今天接受采訪時(shí),Deeg告訴ZDNet他去年10月向富士通報(bào)告了該漏洞,但自10月30日以來沒有收到該公司的消息。
IDC白皮書:釋放物聯(lián)網(wǎng)的力量
IDC研究了許多企業(yè)面臨的一些與物聯(lián)網(wǎng)相關(guān)的關(guān)鍵挑戰(zhàn),例如數(shù)據(jù)訪問問題,復(fù)雜的安全要求等。
Google Cloud提供的白皮書
“在我與富士通就鍵擊注入漏洞進(jìn)行的溝通中,我沒有收到有關(guān)此安全問題的補(bǔ)丁的任何反饋,”研究人員告訴我們,當(dāng)我們?cè)儐柛皇客ㄊ欠癜凳疚磥砜赡軙?huì)發(fā)布修復(fù)時(shí),即使在他的公開披露。
固件補(bǔ)丁的機(jī)會(huì)非常渺茫。Deeg還告訴ZDNet,富士通甚至沒有修補(bǔ)2016年的漏洞,更不用說為最后一個(gè)提供時(shí)間表了。
在當(dāng)時(shí)提供的響應(yīng)中,Deeg與ZDNet共享,該公司并沒有將重播攻擊視為優(yōu)先考慮。
非常感謝您提供有關(guān)我們無線鍵盤的信息。正如我們已經(jīng)指出的那樣,我們認(rèn)為由于使用的無線電協(xié)議,所描述的場(chǎng)景在實(shí)際條件下不容易執(zhí)行。如上所述,我們的產(chǎn)品注定不會(huì)出售安全性,而是首先是便利性(沒有未加密的無線鍵盤的安全缺陷)。任何新的信息和見解都將納入已計(jì)劃的后續(xù)產(chǎn)品中。
研究人員在YouTube上發(fā)布的SySS安全研究人員的演示視頻中展示了一個(gè)用于完成擊鍵注入攻擊的基本無線電硬件裝備。
如上所示,無線電裝置可以很容易地隱藏在衣服下面,威脅演員可以通過目標(biāo)計(jì)算機(jī)走路將惡意軟件注入無人值守系統(tǒng)。
“我不建議在安全性要求較高的環(huán)境中使用這種易受攻擊的鍵盤,”Deeg告訴我們。“我建議不要在暴露的地方使用它,外部攻擊者可能很容易在無線鍵盤的2.4 GHz無線電通信范圍內(nèi)使用它。”
“如果我是公司或公共機(jī)構(gòu)而且我不相信有權(quán)訪問我的場(chǎng)所的人員,例如員工,承包商或訪客,我也不會(huì)在我的計(jì)算機(jī)系統(tǒng)上使用易受攻擊的鍵盤,”Deeg說。
該研究人員還補(bǔ)充說,最好的緩解方法是讓公司部署廣泛的控制,以便使用無線鍵盤。
其他型號(hào)最有可能受到影響
Deeg僅測(cè)試了富士通LX901無線鼠標(biāo)和鍵盤套件,但他說其他LX型號(hào)也很可能受到影響。
“有可能其他可用的無線桌面設(shè)備富士通無線鍵盤套裝LX390使用相同的2.4 GHz無線電技術(shù),并且還受到擊鍵注入和/或重放漏洞的影響。我只測(cè)試了LX901,因?yàn)樵谖覀冎暗难芯宽?xiàng)目中“鼠標(biāo)和鍵盤:現(xiàn)代無線桌面設(shè)備的安全”我的同事Gerhard Klostermeier和我只使用AES加密分析了無線桌面設(shè)備。