如果你使用無(wú)線鍵盤(pán),那你可能需要注意一下了。最近,網(wǎng)絡(luò)安全公司 Bastille 發(fā)布了一份研究,認(rèn)為市場(chǎng)上一些備受歡迎的無(wú)線鍵盤(pán)并不安全。通過(guò)適當(dāng)?shù)墓ぞ?,黑客們可以截取用戶輸入的文字、密碼、卡號(hào),甚至向電腦秘密地輸入數(shù)據(jù)。
通常來(lái)說(shuō),無(wú)線鍵盤(pán)會(huì)把用戶的數(shù)據(jù)加密。這樣的話,即使黑客截取了數(shù)據(jù)流,得到的也是一些無(wú)法解析的亂碼,但是,有時(shí)候這種加密并不靠譜。去年,一位安全研究員曾在微軟的無(wú)線鍵盤(pán)上發(fā)現(xiàn)了漏洞,并且制造了一個(gè)破解加密數(shù)據(jù)的設(shè)備。Bastille 的研究員 Marc Newlin 發(fā)現(xiàn)了更加令人震驚的事情。在研究惠普、東芝等品牌的 12 款備受歡迎的無(wú)線鍵盤(pán)時(shí),他發(fā)現(xiàn),多數(shù)鍵盤(pán)沒(méi)有對(duì)數(shù)據(jù)傳輸做任何加密。
一開(kāi)始,Newlin 對(duì)無(wú)線鍵盤(pán)的接收器進(jìn)行了逆向工程,以了解它們是如何傳輸數(shù)據(jù)的。“我覺(jué)得,這應(yīng)該是第一步工作,” 他接受 Atlantic 網(wǎng)站采訪時(shí)說(shuō),“結(jié)果,在完成這一步后,你看吧,所有的擊鍵數(shù)據(jù)都是以明文傳輸?shù)模緵](méi)有加密。”
這意味著,黑客可以從 250 英尺外監(jiān)控用戶輸入的任何東西,而用戶對(duì)此毫不知情。黑客還可以向計(jì)算機(jī)發(fā)送虛假信號(hào),讓它誤認(rèn)為鍵盤(pán)正在輸入。要進(jìn)行這種攻擊,黑客并不需要太昂貴的設(shè)備。Newlin 只用了個(gè) 40 美元的信號(hào)接收器(控制無(wú)人機(jī)的),以及 50 美元的天線,以擴(kuò)展接收范圍。他把這套工具稱作 KeySniffer,能夠很方便地找到有漏洞的無(wú)線鍵盤(pán)。
值得注意的是,KeySniffer 只能影響低端、便宜的無(wú)線鍵盤(pán)。Bastille 的專(zhuān)家說(shuō),這些鍵盤(pán)上的安全漏洞是無(wú)法彌補(bǔ)的。如果你重視安全問(wèn)題,唯一的辦法就是換成藍(lán)牙連接或者有線連接的鍵盤(pán),因?yàn)?KeySniffer 對(duì)它們無(wú)能為力。
在公開(kāi)此項(xiàng)信息之前,Bastille 已經(jīng)通知了鍵盤(pán)生產(chǎn)商,給了它們 3 個(gè)月的時(shí)間修復(fù)問(wèn)題,不過(guò),大多數(shù)廠商都沒(méi)有什么反饋。對(duì)此,Bastille 的首席營(yíng)收官 Ivan O’Sullivan 表示了失望。
目前,Bastille 已經(jīng)公布了自己的發(fā)現(xiàn),但沒(méi)有把 KeySniffer 代碼公開(kāi)。不過(guò),類(lèi)似的工具很可能已經(jīng)存在了。“Marc 是個(gè)超級(jí)聰明的家伙,” Ivan O’Sullivan 說(shuō),“但他是唯一能夠?qū)懗鲞@些代碼的人嗎?不是。這類(lèi)工具是否被發(fā)布了?我們還不知道。如果一個(gè)聰明人能完成這件事情,誰(shuí)能擔(dān)保說(shuō)其他人不會(huì)做到?”