Security Week 12: клавиатурные атаки

    Когда мы писали про уязвимости в драйверах NVIDIA, стоило упомянуть, что чаще всего дополнительный вектор атаки в вашу систему добавляют не видеокарты, а беспроводные клавиатуры и мыши. Недавно исследователи из немецкой команды SySS обнаружили проблему в комплекте Fujitsu LX901 (новость, оригинальный отчет).


    Эксперты выяснили, что USB-ресивер общается с клавиатурой по зашифрованному каналу связи, но помимо этого способен принимать незашифрованные данные, и в таком режиме передает на компьютер нажатия клавиш так, как будто они выполняются на оригинальной клавиатуре. Это далеко не единственная уязвимость подобного плана, ранее их находили в устройствах Microsoft, Logitech и многих других. Решения для проблемы с комплектом Fujitsu пока не существует.


    Не самое информативное видео показывает, как на компьютер передаются символы с помощью кастомного радиопередатчика, способного работать на расстоянии до 150 метров. Использовался китайский универсальный радиомодуль стоимостью около 30 долларов, в котором была модифицирована прошивка. Ключевое требование для успешной атаки — использование такого же радиомодуля (CYRF6936), как и в оригинальном ресивере для беспроводной клавиатуры. Данные передаются в таком же формате, но без шифрования и какой-либо авторизации. Конфигурация приемника это позволяет.

    Результат: теоретическая возможность получения полного контроля над системой. Недостаток атаки заключается в том, что владелец компьютера может ее заметить, но здесь можно воспользоваться еще одной уязвимостью в той же клавиатуре (обнаружена еще в 2016 году, краткое описание ). Хотя данные между оригинальной клавиатурой и ресивером зашифрованы, атакующий может перехватить их во время, например, ввода пароля при разблокировке компьютера, и повторно воспроизвести для проникновения в систему.

    В ответ на сообщение об этой более ранней проблеме в Fujitsu ответили, что вероятность успешного проведения такой атаки небольшая. В целом они правы: по-прежнему есть масса способов взломать компьютер без использования радиомодулей и без необходимости находиться на небольшом расстоянии от атакуемого компьютера.


    Атаки на беспроводные клавиатуры и мыши становятся объектом внимания уже не первый год. Одно из ранних исследований в 2016 году провела компания Bastille Networks: тогда выяснилось, что приемники семи разных производителей не шифруют данные, передаваемые беспроводной мышью. Коммуникации с клавиатурой кодируются, но атакующий может подключиться к приемнику под видом мыши и передавать нажатия клавиш — и это сработает.

    Еще одна уязвимость в клавиатурах Logitech была обнаружена в конце прошлого года командой Google Project Zero, и вот она похожа на проблемы в драйверах NVIDIA. Как выяснилось, фирменным софтом Logitech Options можно управлять через встроенный веб-сервер с ненадежной авторизацией, в том числе отправив пользователя на подготовленный сайт с возможностью эмуляции произвольных нажатий клавиш. Подробнее об этой проблеме мы писали в блоге.

    Другая проблема, выявленная Bastille Networks в 2016 году, касается менее известных производителей клавиатур, которые не используют шифрование вовсе. Это позволяет перехватывать нажатия клавиш с понятными последствиями. В том же исследовании отмечено, что находить уязвимые устройства достаточно легко: это верно и для самой свежей уязвимости в клавиатурах Fujitsu.


    Закончить обзор потенциальных проблем с беспроводными клавиатурами можно серией твитов о пока неопубликованном исследовании: утверждается, что через приемник Logitech Unifying можно передавать данные в обе стороны. Появляется возможность эксфильтрации данных с компьютера, который, например, вовсе не подключен к интернету. Такой вариант требует запуска вредоносной программы на целевой системе, но если упомянутые выше клавиатурные уязвимости не пропатчены, это не составит труда.

    Проблемы с беспроводными клавиатурами вряд ли когда-либо будут эксплуатировать масштабно, их потенциал если и будет использован, то скорее в целевых атаках. У них множество ограничений, но результат может стоить усилий.

    В 2016 году представитель Bastille Networks Крис Руланд, выступая на конференции Kaspersky Security Analyst Summit, обозначил главную проблему этого класса атак: системные администраторы и специалисты по безопасности зачастую даже не имеют инструментов, чтобы выявить подобные уязвимости. Между тем, в системах с параноидальным уровнем требуемой безопасности, пожалуй, стоит передавать любые данные только по проводам.

    Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.
    «Лаборатория Касперского»
    387,00
    Ловим вирусы, исследуем угрозы, спасаем мир
    Поделиться публикацией

    Комментарии 10

      0
      Просто у клавиатур и мышей не должно быть драйверов — они должны штатно поддерживаться драйверами шины/порта подключения, как это есть с USB HID
        +1

        А причём тут драйвера? Перехват данных идёт до ОС, уязвимой точкой является «коммутирующий провод» (радиопередатчик) и именно про это написано в статье. Это аппаратная уязвимость, а не программная.

          0
          Но ее можно исправить программно, реализовав алгоритм Диффи-Хеллмана в драйвере клавиатуры — теоретическом универсальном или реальным кастомном.
            0

            Шифровать один передаваемый байт?

              0
              Почему нет? Bluetooth 2.1 может передавать до 3 мегабит в секунду
        0
        В ответ на сообщение об этой более ранней проблеме в Fujitsu ответили, что вероятность успешного проведения такой атаки небольшая.
        Мда, у нас нет проблем, а то что проходящий по улице, с устройством за $30 и ноутбуком (*или даже смартфоном), 150 метров! пройтись и тупо вызвать на каждом встречающемся устройстве серию кнопок, открывающий браузер, открытие страницы с тем же paypal или соцсетью, f11, короткий скрипт отправки куки на сервер злоумышленника, и закрытие ctrl+w… на все уйдет несколько секунд… и это можно делать МАССОВО.

        Пофиг на соцсеть и пайпал, вы проходите мимо бухгалтерии первой попавшейся организации, и за пару секунд загружаете и запускаете трояна, который может натворить гораздо больше дел… и опять таки практически незаметно.

        А если есть время, за ночь, можно набить бинарный код (да пофиг, .net сейчас есть на всех win машинах, поставляется с компилятором js/vbs/c#) трояна даже там где нет интернета, который необходимые данные будет отсылать обратно по сторонним каналам (звук, радиопомехи… на хабре были соответствующие статьи).
          0
          в целом все верно, при наличии клавиатуры возможностей масса…
          0
          утверждается, что через приемник Logitech Unifying можно передавать данные в обе стороны


          есть подробности?
            +1
            На самом деле цитата очень смешная. Даже если не знать о том, что в unifying стоит NRLF01, который может в обе стороны, даже если вообще ничего не знать о принципах радиопередачи, можно заметить, что на беспроводной клавиатуре загораются индикаторы caps и num lock по команде с компьютера.
            Для минимального функционала даже не надо взламывать драйвера.
              0
              Хорошее замечание, получается радиоклавиатура с нешифрованным каналом — это просто 0-day уязвимость, ведь получается можно уже не в слепую кнопки нажимать, а передавать реакцию назад ну и данные воровать.

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое