Berta Sándor

Titkosítatlanul küldik az adatokat a vezeték nélküli billentyűzetek

A probléma több millió klaviatúrát érint.

Marc Newlin, a Bastille Networks IT-biztonsági cég munkatársa a jövő héten Las Vegasban megrendezendő Defcon konferencián fogja bemutatni, hogy mennyire veszélyesek a vezeték nélküli billentyűzetek. A beviteli eszközöket elvileg úgy kellene megépíteni, hogy a bevitt információkat kizárólag titkosított formában továbbítsák. Az elvégzett tesztek ugyanakkor azt támasztották alá, hogy legalább nyolc nagy gyártó termékeinek esetében ez közel sem valósul meg.

Newlin és csapata kiderítette, hogy az olcsóbb vezeték nélküli klaviatúrák titkosítatlanul adják tovább az USB-s vevőegységeiknek a leírt karaktereket. A szakembereknek semmilyen védelmet sem kellett feltörniük vagy megkerülniük a továbbított hitelkártya-adatok, a jelszavak, a bizalmas e-mailek elolvasásához. A nyolc érintett gyártó: az Anker, az EagleTec, a General Electric, a Hewlett-Packard, az Insignia, a Kensington, a Radio Shack és a Toshiba.

Az összes megtámadható modell nem Bluetooth-kapcsolatot alkalmaz, hanem saját rádiószabványt. Newlin szerint ezek a megoldások általában a 2,4 GHz-es ISM-sáv protokolljait használva kommunikálnak és ezáltal nincs egységes biztonsági szabvány sem. A csapat tagjainak egy kis méretű, laptophoz csatlakoztatott antennával és viszonylag olcsó, interneten megvásárolható felszerelés segítségével sikerült a billentyűzeteket akár 100 méteres távolságból is lehallgatniuk. Newlin hangsúlyozta: az egyetlen oka annak, hogy eddig ezekre az eszközökre senki sem figyelt fel, az, hogy senki sem foglalkozott a működési elvük lemodellezésével. Az elküldött karakterek kiolvasásán túl a szakember és a kollégái módosítani tudták az adatbevitelt, így lehetővé vált kártevők telepítése, fájlok kiszűrése vagy rossz szándékú akciók végrehajtása.

A Threatpost azt írta, hogy a kutató tájékoztatta a biztonsági hiányosságokról az érintett gyártókat, akiknek - a megszokott gyakorlat alapján - 90 napot hagyott a sebezhetőségek befoltozására, mielőtt a nyilvánosság elé állt volna. Ennek ellenére az első kapcsolatfelvétel során a legtöbb gyártó válaszra sem méltatta. Csak a General Electric klaviatúráit készítő Jasco Products és később a Kensington reagált a megkeresésre. A Jasco Products azt közölte, hogy tisztában vannak a problémával és az ügyfelekkel közösen dolgoznak annak megoldásán. Azt viszont a cég nem árulta el, hogy miként oldhatják meg a problémát, de az ügyfelek egy forródrótot hívhatnak.
< br> A Kensington ennél többet tett, meghirdetett egy firmware-frissítést, amely bevezeti a termékeknél az AES-titkosítást. Itt is lehetőségük van a vevőknek az ügyfélszolgálathoz fordulni. Newlin ugyanakkor leszögezte, hogy a lépés sikere azért kétséges, mert a tesztelt klaviatúrák nem támogatják a firmware-frissítések alkalmazását. Így a legbiztosabb az, ha a felhasználók vagy vezetékes vagy Bluetooth-kapcsolatot használó beviteli eszközökre váltanak.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • gforce9 #13
    Hát ez a hsz minden volt, csak hozzá értő nem...
  • NAGYmenET #12
    Sok okostojás , hozzánemértő !
    Mikro-lag / késleltetés online játékoknál jelentkezik be ! Lenyomod az 1,2,3,4,5 stb gombot és közel fél sec a késés . Anno én sem értettem miért tudnak engem előbb kicsinálni ... aztán mondták , hogy vegyek egy Gamer cuccot , nem kell drága , de gamer legyen és meglátom mi fog történni . Nos , azóta tényleg nincs gondom :D gyors a bill és az egér reakcióideje !
    Játékban ég és föld , egyéb alkalmazásokban LÉNYEGTELEN !
    Utoljára szerkesztette: NAGYmenET, 2016.08.01. 12:22:01
  • grobs #11
    Fontos helyre belépéshez az elmúlt 5 évben már csak kulcsot, vagy PIN-t kaptam (chip kártyával).
  • fonak #10
    Fontos, bonyolult, jelszavakat mondjuk én 90%-ban nem begépelem, hanem a vágólapra másolom a jelszótároló progiból (PasswordSafe) szóval a billentyűzetet hallgathatják ha akarják.
  • grobs #9
    Egyrészt azért mert egy íróasztalon ahol dolgoznak lehet sok-sok egyéb dolog. Minden kábel ami az asztalon van az zavaró és fölösleges (1.5 méter meg pláne). Arról nem is beszélve, hogy sok helyen létezik "iroda kép" amibe nem nagyon illik bele 1.5 méter kígyó. Ma már aki dolgozik az legtöbbször laptoppal teszi, tehát nagyon messze is mehetek a 2. monitortól. Ha viszem a gépem, kábeles egér+billentyűzet nem praktikus. Sokszor fordul elő, hogy egy kollégával megbeszélném a kódot. Ilyenkor adogatjuk egymásnak a billentyűzetet és az egeret. Régebben a székkel gurultunk arrébb mindig.
    Egyébként a billentyűzet még elmegy, mert többé-kevésbé fix a helye, meeting-re nem viszi be az ember, külföldre se szoktam vinni, de vezetékes egérrel dolgozzon akinek 2 anyja van. Aki késleltetés miatt sír annál be is lőhető, hogy mire használja. Munkánál nagyon hátra szorul a 300 APM elérése.

    A puskamikrofon nem lesz feltűnő az utca túloldalán.
  • gombszem #8
    Tulajdonképpen mi a fenének kell vezeték nélküli billentyűzet? Azért, hogy a másfél méteres kábel ne legyen ott? A géptől, a képernyőtől úgysem tud messzebb menni. Akkor meg minek? Egyszerű proccolás. Akkor meg ne sírjon, ha ellopják az adatait. :(
  • esdideki #7
    Sőt, egyes felelőtlen emberek titkosítatlanul beszélnek...
  • aru #6
    Lassan 10 éves a billemtyűzet + egerem és ahogyan előttem írták nálam sincs semmilyen késleltetés. Nem OEM NONAME szarokat kell vásárolni és ilyen probléma nincs! Ja persze ha nincs 10 ezred egy normális párosért, akkor ne is mondj véleményt!

    A másik az, hogy minek is titkosítás amikor a lakáson kívülről már nem működik?
    Utoljára szerkesztette: aru, 2016.07.31. 22:56:02
  • zola2000 #5
    Én nem veszek észre semmi késleltetést egérmozgatáskor 2,4ghz eszközt használva, bluetoothnál előfordulhat, de újabban azoknál sem.
    Utoljára szerkesztette: zola2000, 2016.07.31. 12:32:03
  • jkedzs #4
    nyilván ez is gáz, de én leginkább azért szarok le minden rádiós szart, mert nagy a latency-je és mert akármi be tudja zavarni, amitől még szarabbak lesznek a mérőszámai... tehát még csak nem is stabilan szar.
    igénytelen embereknek megfelelő.