Вводимый с ряда моделей беспроводных клавиатур текст научились перехватывать с расстояния в 75 метров

    8 из 12 проверенных специалистом моделей клавиатур отправляют набираемые символы открытым текстом без кодирования




    Беспроводные клавиатуры различных моделей, производимые 8 компаниями, подвержены уязвимости, которая позволяет злоумышленнику перехватывать нажатия клавиш с расстояния вплоть до 75 метров. Опасность этой уязвимости, которая получила название KeySniffer, сложно недооценить — она позволяет получать любые пароли, номера кредиток, вопросы и ответы на секретные вопросы. Все это — текст без шифрования.

    Компании, чьи клавиатуры подвержены этой уязвимости, названы специалистами по информационной безопасности, которые обнаружили проблему. Это Hewlett-Packard, Toshiba, Kensington, Insignia, Radio Shack, Anker, General Electric, и EagleTec. Первым сообщил о найденной уязвимости Марк Ньюлин, исследователь из Bastille Networks.

    Он же сообщил о схожей проблеме еще в феврале — только тогда речь шла о возможности удаленного ввода нажатий кнопок для беспроводной мыши. Исследователь смог отправлять команды для мыши, симулирующие нажатие клавиш клавиатуры (не нажатие кнопок мыши) с расстояния в 225 метров. И операционная система интерпретировала эти сигналы верно, выполняя соответствующую функцию или проставляя символ в редакторе. После изучения этого вопроса Ньюлин занялся беспроводными клавиатурами. Он купил 12 различных моделей в супермаркете электроники, и начал изучать протоколы передачи данных, с которыми работают эти устройства.

    Как оказалось, 8 из 12 изученных клавиатур вообще никак не шифруют отправляемые данные. Все эти клавиатуры продаются в магазинах и сейчас. Некоторые из них были представлены в 2014 и 2015 годах, но они до сих пор популярны. «Мы ожидали, что производители этих относительно новых клавиатур серьезно подошли к вопросу информационной безопасности, но это, к сожалению, не так», — говорит исследователь.

    «Как только я завершил начальную фазу реверс инжиниринга, я понял, что все эти устройства отправляют нажатия клавиш в виде обычного текста», — заявил Ньюлин.

    Он обнаружил, что ряд клавиатур был оснащен трансиверами, которые не были ранее задокументированы. Клавиатуры от Hewlett-Packard, Anker, Kensington, RadioShack, Insignia, и EagleTec оснащались трансиверами производства компании MOSART Semiconductor. Клавиатуры от Toshiba использовали трансиверы производства Signia Technologies. Клавиатуры General Electric оснащались noname трансиверами — кто их выпускает, неизвестно.

    Восемь из 12 изученных клавиатур работали с трансиверами (приемопередатчиками), о которых не нашлось информации. Какие чипы использовались в этих устройствах было неясно. И Ньюлин и коллеги решили изучить их самостоятельно. Специалисты выполнили реверс-инжиниринг, изучив как электронные компоненты трансиверов, так и радиочастоты, с которыми работали эти элементы.

    Для получения доступа к данным, передаваемым клавиатурами, нужно недорогое оборудование. Все, что нужно — это «дальнобойная» радиосистема типа Crazyradio, работающая на частоте 2,4 ГГц. Ее можно купить на Amazon всего за $30-40. Проведя реверс инжиниринг трансиверов клавиатур, исследователь написал прошивку для Crazyradio. Система с этой прошивкой начала работать как штатный трансивер любой из клавиатур. К Crazyradio была добавлена еще направленная антенна ценой в $50.



    Созданную систему Ньюлин подключил к ноутбуку, и смог принимать сигналы беспроводных клавиатур на расстоянии вплоть до 75 метров. Компьютер жертвы при этом не нужен — никаких манипуляций с ним проводить не требуется. Достаточно сесть в людном месте, где есть пользователи, работающие со своими ноутбуками или планшетами с использованием беспроводной клавиатуры (а таких немало) и ждать получения всех данных, вводимых жертвой на свой ПК.

    Ожидать можно и на улице рядом с блочными домами, где большое количество жителей. Кто-то да будет работать на компьютере, используя уязвимую для взлома клавиатуру. Даже, если никто не набирает текст, но компьютер и клавиатура включены, злоумышленник может просканировать локацию, и получив сигнал клавиатуры, понять, что здесь есть, чем поживиться.

    Компания Bastille Networks отправила всем производителям оборудования с уязвимостями информацию по проблеме. При этом в сообщении говорилось, что у производителей есть 90 дней на исправление ситуации. Самое интересное то, что никто не ответил, кроме одной компании. Эта компания сообщила, что она больше не занимается созданием беспроводных клавиатур. Да и способа исправить проблему вроде бы и нет. Ведь проблема не в драйверах к клавиатуре, а в самом устройстве, это аппаратная уязвимость. Самое простое решение для производителя — больше не выпускать проблемные модели клавиатур.



    «Насколько я знаю, нет способа обновить прошивку этих устройств, поскольку все управляющее ПО зашито в чип на плате. Поэтому решить проблему, каким-то образом включив шифрование нельзя», — говорит Ньюлин.

    Компания Bastille Networks советует всем владельцам клавиатур с уязвимостью прекратить их использовать, переключившись на проводную или Bluetooth клавиатуру. Bluetooth не самый защищенный от взлома беспроводный протокол, но это лучше, чем ничего.

    Недавно еще один специалист по информационной безопасности, Samy Kamkar, нашел способ взломать беспроводные клавиатуры Microsoft. Он смог собирать, расшифровывать и записывать информацию, которую вводили пользователи такой клавиатуры. Камкар создал специальное устройство, KeySweeper, состоящее из Arduino и других электронных компонентов. Выглядит девайс, как USB-зарядка, но на самом деле это шпионское устройство.
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 29

      +4
      на картинке в твите, похоже, донглы фирмы Logitech, про которую в статье ни слова
        +1
        Logitech как раз шифрует передачу. Так что да, её трансиверы на картинке не в кассу.
          +2

          Он перепрогрммировал эти Unifying Dongle как снифферы. А вообще насколько я понял, Logitech не подвержен конкретно этой уязвимости (они используют AES шифрование), но позволяет злоумышленнику посылать в донгл поддельные нажатия.

            0
            Marc Newlin ‏@marcnewlin 21 июл.
            @lacosteaef I reversed engineered the Logitech dongle DFU process so they can run custom firmware and be used for nRF24L sniffing/injection.
            –3
            >> она позволяет получать любые пароли, номера кредиток, вопросы и ответы на секретные вопросы. Все это — текст без шифрования.
            По поводу удаленного злодея от пользователя — а пользователь перед вводом пароля набирает слово пароль? так же вопросы и ответы на секретные вопросы…
            Номера кредиток ладно — определенное количество цифр… Пароль наверное находится подбором из комбинаций вводимых в промежуток времени с вводом номера кредитки…

              +3
              Перед вводом пароля обычно набирается логин, в качестве которого часто выступают мыло или телефон

              С ответами на вопрос, конечно, сложнее, но если к keysnifferу добавить видеоподглядывание, то можно распознать почти всё, если не вообще всё
              Естественно, у киснифера и видеокамеры часы должны быть синхронизированы (правда, это не единственная и не самая большая сложность)
                0
                Мне кажется, что если у злоумышленника есть список всех нажатых клавиш и время нажатия каждой, то можно выделить всю информацию, которая вводилась и даже найти пароли, номера карт, секретные вопросы и т. д. Как минимум, переключение между программами можно поймать по использованию горячих клавиш. В браузере человек практически не вводит отдельные слова, только фразы и предложения, которые можно понять (выделить поисковые запросы не очень сложно). Пароль можно выделить по времени ввода, плюс он будет выбиваться из общей картины. С секретными вопросами похожая картина.
                  0
                  >>Пароль можно выделить по времени ввода, плюс он будет выбиваться из общей картины
                  соглашусь — пароль должен быть нормальным текстом для перехватчика… но еще у нас есть мышь или пальцы чтоб перемещать расположение места ввода символа:)

                  >>Как минимум, переключение между программами можно поймать по использованию горячих клавиш
                  кажется из области фантастики — злоумышленник перехватывает только нажатие клавиш, а мышь он не перехватывает так и то что происходит на экране. Из горячих клавишь переключения между программами — только Alt+Tab
                  Слова и всякую хрень он вводит — называется капча ;)
                    0
                    >>Как минимум, переключение между программами можно поймать по использованию горячих клавиш
                    кажется из области фантастики — злоумышленник перехватывает только нажатие клавиш, а мышь он не перехватывает так и то что происходит на экране. Из горячих клавишь переключения между программами — только Alt+Tab

                    С высокой вероятностью при беспроводной клавиатуре и мышь беспроводная, и в большинстве случаев из одного комплекта. Так что не вижу каких-либо препятствий отследить всё.
                      0
                      Ну ладно мышь можно отследить… но она не выдаёт абсолютные координаты, мы не можем знать точное положение курсора мыши на экране, только её относительные перемещения. Да и без перехваченой картинки на экране положение курсора на экране нам не даёт ровным счётом НИЧЕГО. Можно отслеживать мышь прямо с самого включения, но замаешься ждать. Можно ловить на лету явный перебор координат(верхняя и левая граница экрана) и считать за нулевые линии отсчёта… но этого момента тоже надо дождаться. И в итоге это всеравно ничего не даст(без изображения), а при кратковременном исчезновении сигнала мы снова потеряем точку отсчёта.
                        0
                        Вы часто при вводе пароля кликаете мышкой? Соответственно нажатие enter, tab или клик мыши — вполне себе маркеры окончания ввода. Таким образом логины/пароли у 99% пользователей можно будет отделить.
                          0
                          С ужасом обнаружил что… не ввожу логин. Он подставляется автоматически. Поэтому таб уже отпадает… а в 50% входов и пароль подставлен уже. остаётся только по кнопке логина… кликнуть.
                  +1
                  пффф, что за хакеры пошли, у вас есть доступ к физической клавиатуре и мыши! Вы можете выполнять команды на машине пользователя, в т.ч. под администратором, скачивать трояны и все что угодно! Куда еще больше дыру?
                  0
                  Теперь эти клавиатуры годятся лишь для управления экранной клавиатурой с постоянно рандомизируемой раскладкой.
                    0
                    Напоминает ситуацию с автосигнализациями, буквально самое начало ее развития.
                    Кстати, bluetooth устройства страдать этой проблемой не должны вроде как. Или там тоже недостаточно сильное шифрование чтобы отбить интерес злоумышленников?
                      0
                      А слать информацию обратно клавиатуре и удалённо её считывать можно? Отличный канал связи с червём выйдет в случае отсутствия у жертвы полноценного доступа к Интернет.
                        0
                        Практически любая из клавиатур на расстоянии 5м по прямой уже начинает фейлить.
                        Эта уязвимость ничем не хуже прямого подсматривания.
                          +1

                          Ну во первых, подбросить нечто в комнату уже намного проще, чем "прямое подсматривание", а во вторых, в статье утверждается, что с его оборудованием дальность приёма составляет 75 метров.

                            +1
                            Его оборудование на лету патчит трансмиттер клавиатуры?
                            Кстати чуваку не лишним было бы рассказать, как себя ведет оригинальная клавиатура, поскольку мы с женой взяли себе два Defender Oxford C975, и работает только один приемник, или тот или другой, в зависимости от того к кому первому подключились. И уж явно не два одновременно. Пришлось обменять один комплект…
                              +2

                              Нет конечно. Просто оно более чувствительное и с большой антенной. А значит может уловить сигнал клавиатуры гораздо дальше чем штатный приёмник.

                          0
                          А что за клавиатура на первой картинке?

                          upd:
                          Поторопился с вопросом. Клавиатура называется Qwerkywriter.
                            0
                            А на NRF 24 по моему, уже давно клавы снифферили. Из дешевых подобных вещей ничего не придумали лучше\чуствительней?
                              0
                              В теории, конечно, человек, который пишет то, чем бы он не хотел делиться, не должен пользоваться беспроводной передачей.
                              На практике же, беспроводные технологии слишком проникли в компьютерную технику, что бы от них отказываться в угоду безопасности.
                                0
                                Безопасность гораздо проще, чем кажется.
                                Пользовались когда-то блютуз-наушниками? Компьютер их видит и цепляется к ним ТОЛЬКО при нажатой кнопке. После отпускания кнопки, уже никто мои наушники не сможет контролировать, а если сможет, то я это сразу замечу.

                                Здесь можно было тоже так же.
                                0
                                Извините, что не совсем в тему.
                                Иногда возникает желание заиметь беспроводные наушники, но нигде и никогда я не видел в описании товара информации о том, какую технологию шифрования наушники используют и используют ли вообще, какой стандарт передачи данных. Максимум можно увидеть диапазон радио (2.4 ГГц) и подумать, что, наверное, как-то Wi-Fi используется.
                                  0
                                  Странно. Практически на любом сайте написано — Bluetooth 4.0, и профили (кодеки) — A2DP \ AVRCP \ HFP \HSP. Собственно и вариантов-то других нету.

                                  Технологию шифрования они не используют никакую, да и не нужно. Вы ведь голос для окружающих не шифруете.
                                  Наушники видны ищущим устройствам, в течение 5-10 секунд, затем устанавливают соединение только с тем, кто его инициирует. Вы нажимаете кнопку на наушниках, и «поиск» на телефоне. Наушники обнаруживаются и светят свое название. Вы нажимаете «подключиться», после чего наушники сигнализируют звуком или светодиодом об успехе. К вашему телефону никто не подключится, иначе вы увидите название того кто подключился. Ну за исключением уж очень параноидальных вариантов в виде притаившегося за уголом Сноудена :)
                                    0
                                    Спасибо за ответ. Мне наверное следовало уточнить, что я имею ввиду наушники для ПК, а не наушники для телефона. Голос я не шифрую от окружающих меня дома, но от тех, кто окружает меня снаружи дома, следует шифровать вполне. Были истории про то, как в девяностые соседи слышали телефонные переговоры стандарта DECT на обычном телевизоре, так как с соблюдением стандартов у no-name телефонов была совсем беда в то время.
                                      0

                                      Вообще-то Bluetooth использует шифрование по умолчанию.

                                        0
                                        Наверное, имелись в виду уши, использующие аналоговую передачу на каналах 800 МГц и 2,4 ГГц, с трансивером, подключаемым к ПК.

                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                  Самое читаемое