8 из 12 проверенных специалистом моделей клавиатур отправляют набираемые символы открытым текстом без кодирования
Беспроводные клавиатуры различных моделей, производимые 8 компаниями, подвержены уязвимости, которая позволяет злоумышленнику перехватывать нажатия клавиш с расстояния вплоть до 75 метров. Опасность этой уязвимости, которая получила название KeySniffer, сложно недооценить — она позволяет получать любые пароли, номера кредиток, вопросы и ответы на секретные вопросы. Все это — текст без шифрования.
Компании, чьи клавиатуры подвержены этой уязвимости, названы специалистами по информационной безопасности, которые обнаружили проблему. Это Hewlett-Packard, Toshiba, Kensington, Insignia, Radio Shack, Anker, General Electric, и EagleTec. Первым сообщил о найденной уязвимости Марк Ньюлин, исследователь из Bastille Networks.
Он же сообщил о схожей проблеме еще в феврале — только тогда речь шла о возможности удаленного ввода нажатий кнопок для беспроводной мыши. Исследователь смог отправлять команды для мыши, симулирующие нажатие клавиш клавиатуры (не нажатие кнопок мыши) с расстояния в 225 метров. И операционная система интерпретировала эти сигналы верно, выполняя соответствующую функцию или проставляя символ в редакторе. После изучения этого вопроса Ньюлин занялся беспроводными клавиатурами. Он купил 12 различных моделей в супермаркете электроники, и начал изучать протоколы передачи данных, с которыми работают эти устройства.
Как оказалось, 8 из 12 изученных клавиатур вообще никак не шифруют отправляемые данные. Все эти клавиатуры продаются в магазинах и сейчас. Некоторые из них были представлены в 2014 и 2015 годах, но они до сих пор популярны. «Мы ожидали, что производители этих относительно новых клавиатур серьезно подошли к вопросу информационной безопасности, но это, к сожалению, не так», — говорит исследователь.
«Как только я завершил начальную фазу реверс инжиниринга, я понял, что все эти устройства отправляют нажатия клавиш в виде обычного текста», — заявил Ньюлин.
Он обнаружил, что ряд клавиатур был оснащен трансиверами, которые не были ранее задокументированы. Клавиатуры от Hewlett-Packard, Anker, Kensington, RadioShack, Insignia, и EagleTec оснащались трансиверами производства компании MOSART Semiconductor. Клавиатуры от Toshiba использовали трансиверы производства Signia Technologies. Клавиатуры General Electric оснащались noname трансиверами — кто их выпускает, неизвестно.
Восемь из 12 изученных клавиатур работали с трансиверами (приемопередатчиками), о которых не нашлось информации. Какие чипы использовались в этих устройствах было неясно. И Ньюлин и коллеги решили изучить их самостоятельно. Специалисты выполнили реверс-инжиниринг, изучив как электронные компоненты трансиверов, так и радиочастоты, с которыми работали эти элементы.
Для получения доступа к данным, передаваемым клавиатурами, нужно недорогое оборудование. Все, что нужно — это «дальнобойная» радиосистема типа Crazyradio, работающая на частоте 2,4 ГГц. Ее можно купить на Amazon всего за $30-40. Проведя реверс инжиниринг трансиверов клавиатур, исследователь написал прошивку для Crazyradio. Система с этой прошивкой начала работать как штатный трансивер любой из клавиатур. К Crazyradio была добавлена еще направленная антенна ценой в $50.
Созданную систему Ньюлин подключил к ноутбуку, и смог принимать сигналы беспроводных клавиатур на расстоянии вплоть до 75 метров. Компьютер жертвы при этом не нужен — никаких манипуляций с ним проводить не требуется. Достаточно сесть в людном месте, где есть пользователи, работающие со своими ноутбуками или планшетами с использованием беспроводной клавиатуры (а таких немало) и ждать получения всех данных, вводимых жертвой на свой ПК.
Ожидать можно и на улице рядом с блочными домами, где большое количество жителей. Кто-то да будет работать на компьютере, используя уязвимую для взлома клавиатуру. Даже, если никто не набирает текст, но компьютер и клавиатура включены, злоумышленник может просканировать локацию, и получив сигнал клавиатуры, понять, что здесь есть, чем поживиться.
Компания Bastille Networks отправила всем производителям оборудования с уязвимостями информацию по проблеме. При этом в сообщении говорилось, что у производителей есть 90 дней на исправление ситуации. Самое интересное то, что никто не ответил, кроме одной компании. Эта компания сообщила, что она больше не занимается созданием беспроводных клавиатур. Да и способа исправить проблему вроде бы и нет. Ведь проблема не в драйверах к клавиатуре, а в самом устройстве, это аппаратная уязвимость. Самое простое решение для производителя — больше не выпускать проблемные модели клавиатур.
There is no such thing as too many dongles. #mousejack #defcon pic.twitter.com/ghMW8SJs8M
— Marc Newlin (@marcnewlin) 21 июля 2016 г.
«Насколько я знаю, нет способа обновить прошивку этих устройств, поскольку все управляющее ПО зашито в чип на плате. Поэтому решить проблему, каким-то образом включив шифрование нельзя», — говорит Ньюлин.
Компания Bastille Networks советует всем владельцам клавиатур с уязвимостью прекратить их использовать, переключившись на проводную или Bluetooth клавиатуру. Bluetooth не самый защищенный от взлома беспроводный протокол, но это лучше, чем ничего.
Недавно еще один специалист по информационной безопасности, Samy Kamkar, нашел способ взломать беспроводные клавиатуры Microsoft. Он смог собирать, расшифровывать и записывать информацию, которую вводили пользователи такой клавиатуры. Камкар создал специальное устройство, KeySweeper, состоящее из Arduino и других электронных компонентов. Выглядит девайс, как USB-зарядка, но на самом деле это шпионское устройство.
Комментарии (29)
pnetmon
27.07.2016 18:47-3>> она позволяет получать любые пароли, номера кредиток, вопросы и ответы на секретные вопросы. Все это — текст без шифрования.
По поводу удаленного злодея от пользователя — а пользователь перед вводом пароля набирает слово пароль? так же вопросы и ответы на секретные вопросы…
Номера кредиток ладно — определенное количество цифр… Пароль наверное находится подбором из комбинаций вводимых в промежуток времени с вводом номера кредитки…
General_Failure
27.07.2016 18:58+3Перед вводом пароля обычно набирается логин, в качестве которого часто выступают мыло или телефон
С ответами на вопрос, конечно, сложнее, но если к keysnifferу добавить видеоподглядывание, то можно распознать почти всё, если не вообще всё
Естественно, у киснифера и видеокамеры часы должны быть синхронизированы (правда, это не единственная и не самая большая сложность)
pyrk2142
27.07.2016 19:39Мне кажется, что если у злоумышленника есть список всех нажатых клавиш и время нажатия каждой, то можно выделить всю информацию, которая вводилась и даже найти пароли, номера карт, секретные вопросы и т. д. Как минимум, переключение между программами можно поймать по использованию горячих клавиш. В браузере человек практически не вводит отдельные слова, только фразы и предложения, которые можно понять (выделить поисковые запросы не очень сложно). Пароль можно выделить по времени ввода, плюс он будет выбиваться из общей картины. С секретными вопросами похожая картина.
pnetmon
27.07.2016 20:00>>Пароль можно выделить по времени ввода, плюс он будет выбиваться из общей картины
соглашусь — пароль должен быть нормальным текстом для перехватчика… но еще у нас есть мышь или пальцы чтоб перемещать расположение места ввода символа:)
>>Как минимум, переключение между программами можно поймать по использованию горячих клавиш
кажется из области фантастики — злоумышленник перехватывает только нажатие клавиш, а мышь он не перехватывает так и то что происходит на экране. Из горячих клавишь переключения между программами — только Alt+Tab
Слова и всякую хрень он вводит — называется капча ;)
stamir
28.07.2016 13:52>>Как минимум, переключение между программами можно поймать по использованию горячих клавиш
кажется из области фантастики — злоумышленник перехватывает только нажатие клавиш, а мышь он не перехватывает так и то что происходит на экране. Из горячих клавишь переключения между программами — только Alt+Tab
С высокой вероятностью при беспроводной клавиатуре и мышь беспроводная, и в большинстве случаев из одного комплекта. Так что не вижу каких-либо препятствий отследить всё.
Alexeyslav
28.07.2016 17:28Ну ладно мышь можно отследить… но она не выдаёт абсолютные координаты, мы не можем знать точное положение курсора мыши на экране, только её относительные перемещения. Да и без перехваченой картинки на экране положение курсора на экране нам не даёт ровным счётом НИЧЕГО. Можно отслеживать мышь прямо с самого включения, но замаешься ждать. Можно ловить на лету явный перебор координат(верхняя и левая граница экрана) и считать за нулевые линии отсчёта… но этого момента тоже надо дождаться. И в итоге это всеравно ничего не даст(без изображения), а при кратковременном исчезновении сигнала мы снова потеряем точку отсчёта.
stamir
28.07.2016 17:59Вы часто при вводе пароля кликаете мышкой? Соответственно нажатие enter, tab или клик мыши — вполне себе маркеры окончания ввода. Таким образом логины/пароли у 99% пользователей можно будет отделить.
Alexeyslav
28.07.2016 21:38С ужасом обнаружил что… не ввожу логин. Он подставляется автоматически. Поэтому таб уже отпадает… а в 50% входов и пароль подставлен уже. остаётся только по кнопке логина… кликнуть.
Fedarod
27.07.2016 20:21+1пффф, что за хакеры пошли, у вас есть доступ к физической клавиатуре и мыши! Вы можете выполнять команды на машине пользователя, в т.ч. под администратором, скачивать трояны и все что угодно! Куда еще больше дыру?
perfect_genius
27.07.2016 19:48Теперь эти клавиатуры годятся лишь для управления экранной клавиатурой с постоянно рандомизируемой раскладкой.
Siper
27.07.2016 20:03Напоминает ситуацию с автосигнализациями, буквально самое начало ее развития.
Кстати, bluetooth устройства страдать этой проблемой не должны вроде как. Или там тоже недостаточно сильное шифрование чтобы отбить интерес злоумышленников?
none7
27.07.2016 20:20А слать информацию обратно клавиатуре и удалённо её считывать можно? Отличный канал связи с червём выйдет в случае отсутствия у жертвы полноценного доступа к Интернет.
wmtoolsnet
27.07.2016 20:30Практически любая из клавиатур на расстоянии 5м по прямой уже начинает фейлить.
Эта уязвимость ничем не хуже прямого подсматривания.encyclopedist
27.07.2016 20:33+1Ну во первых, подбросить нечто в комнату уже намного проще, чем "прямое подсматривание", а во вторых, в статье утверждается, что с его оборудованием дальность приёма составляет 75 метров.
wmtoolsnet
27.07.2016 20:47+1Его оборудование на лету патчит трансмиттер клавиатуры?
Кстати чуваку не лишним было бы рассказать, как себя ведет оригинальная клавиатура, поскольку мы с женой взяли себе два Defender Oxford C975, и работает только один приемник, или тот или другой, в зависимости от того к кому первому подключились. И уж явно не два одновременно. Пришлось обменять один комплект…encyclopedist
27.07.2016 20:50+2Нет конечно. Просто оно более чувствительное и с большой антенной. А значит может уловить сигнал клавиатуры гораздо дальше чем штатный приёмник.
Desprit
27.07.2016 20:50А что за клавиатура на первой картинке?
upd:
Поторопился с вопросом. Клавиатура называется Qwerkywriter.
SGordon123
27.07.2016 21:22А на NRF 24 по моему, уже давно клавы снифферили. Из дешевых подобных вещей ничего не придумали лучше\чуствительней?
Gordon01
28.07.2016 10:03В теории, конечно, человек, который пишет то, чем бы он не хотел делиться, не должен пользоваться беспроводной передачей.
На практике же, беспроводные технологии слишком проникли в компьютерную технику, что бы от них отказываться в угоду безопасности.wmtoolsnet
28.07.2016 14:28Безопасность гораздо проще, чем кажется.
Пользовались когда-то блютуз-наушниками? Компьютер их видит и цепляется к ним ТОЛЬКО при нажатой кнопке. После отпускания кнопки, уже никто мои наушники не сможет контролировать, а если сможет, то я это сразу замечу.
Здесь можно было тоже так же.
Tagat
28.07.2016 16:21Извините, что не совсем в тему.
Иногда возникает желание заиметь беспроводные наушники, но нигде и никогда я не видел в описании товара информации о том, какую технологию шифрования наушники используют и используют ли вообще, какой стандарт передачи данных. Максимум можно увидеть диапазон радио (2.4 ГГц) и подумать, что, наверное, как-то Wi-Fi используется.wmtoolsnet
28.07.2016 20:19Странно. Практически на любом сайте написано — Bluetooth 4.0, и профили (кодеки) — A2DP \ AVRCP \ HFP \HSP. Собственно и вариантов-то других нету.
Технологию шифрования они не используют никакую, да и не нужно. Вы ведь голос для окружающих не шифруете.
Наушники видны ищущим устройствам, в течение 5-10 секунд, затем устанавливают соединение только с тем, кто его инициирует. Вы нажимаете кнопку на наушниках, и «поиск» на телефоне. Наушники обнаруживаются и светят свое название. Вы нажимаете «подключиться», после чего наушники сигнализируют звуком или светодиодом об успехе. К вашему телефону никто не подключится, иначе вы увидите название того кто подключился. Ну за исключением уж очень параноидальных вариантов в виде притаившегося за уголом Сноудена :)Tagat
28.07.2016 23:04Спасибо за ответ. Мне наверное следовало уточнить, что я имею ввиду наушники для ПК, а не наушники для телефона. Голос я не шифрую от окружающих меня дома, но от тех, кто окружает меня снаружи дома, следует шифровать вполне. Были истории про то, как в девяностые соседи слышали телефонные переговоры стандарта DECT на обычном телевизоре, так как с соблюдением стандартов у no-name телефонов была совсем беда в то время.
encyclopedist
28.07.2016 23:28Вообще-то Bluetooth использует шифрование по умолчанию.
ns3230
29.07.2016 04:24Наверное, имелись в виду уши, использующие аналоговую передачу на каналах 800 МГц и 2,4 ГГц, с трансивером, подключаемым к ПК.
alex_shpak
на картинке в твите, похоже, донглы фирмы Logitech, про которую в статье ни слова
bormanman
Logitech как раз шифрует передачу. Так что да, её трансиверы на картинке не в кассу.
encyclopedist
Он перепрогрммировал эти Unifying Dongle как снифферы. А вообще насколько я понял, Logitech не подвержен конкретно этой уязвимости (они используют AES шифрование), но позволяет злоумышленнику посылать в донгл поддельные нажатия.
DenimTornado
Marc Newlin ?@marcnewlin 21 июл.
@lacosteaef I reversed engineered the Logitech dongle DFU process so they can run custom firmware and be used for nRF24L sniffing/injection.