A vezeték nélküli billentyűzetek és egerek nem olyan biztonságosak, mint ahogy gondolnád

Legyünk őszinték: 2016 van, igyekszünk mindenből vezeték nélkülit használni. Nagyon sokan használunk ilyen billentyűzetet vagy egeret nap mint nap. Sőt, mióta egyre elterjedtebb a céges eszközök otthoni használata is, – ahogy a BYOD-val foglalkozó cikkünkben olvashattad – elképzelhető hogy valaki csak akkor használ ilyet, ha otthonról dolgozik. Egy nemrégiben folytatott kutatás szerint elég egy vezeték nélküli egér vagy billentyűzet ahhoz, hogy veszélybe sodord a cégedet.

Két módszer közül választhatunk

Ha nem szeretnénk bajlódni a drótokkal, két választásunk van; Vagy Bluetooth-os, vagy 2,4Ghz-es rádiós jellel működő eszközt vásárolunk. A mai cikkben a rádiós elven működő billentyűzetekről és egerekről lesz szó.

Biztosan láttál már ilyet, nem kell mást tenned, csak csatlakoztatni a kis USB vevőegységet, és már működik is a billentyűzet vagy egér.

Az eszközök innentől kezdve ezzel a kis vevővel kommunikálnak, rádiójelek segítségével.

Ha az eszközök közötti kommunikáció titkos, mi baj történhet?

A vezeték nélküli eszközök tervezése során a mérnökök joggal tartottak attól, hogy a rádiójeleket elfoghatják, és „lehallgathatóvá” válik a kommunikáció. Ezért is döntöttek az adatcsomagok titkosítása mellett.

USB vevő egység

Bastille kutatásából azonban az látszik, van egy olyan eset, amire még a tervezők sem gondoltak;

A vevőegység akkor is elfogadja a rádiójelen kapott adatcsomagokat, ha azok nem titkosítottak. Ez a sebezhetőség a MouseJack.

Ez pedig egy aranybánya a hackerek számára

Akárki vásárolhat egy olcsó USB-s rádiós eszközt (mint például a Crazyradio PA), maximum 30 dollárba (8500Ft) kerül. Egy ilyen pendrive méretű kütyüvel a hackerek képesek lehetnek titkosítatlan billentyűleütéseket becsempészni a vezetéknélküli billentyűzeted vagy egered és a számítógéped közötti kommunikációba. Mivel a vevőegység nem követeli meg a titkosított adatcsomagokat, minden további nélkül küldhetnek utasításokat vagy programkódokat. A vevő el fogja fogadni azokat.

A hackernek a 30 dolláros rádiós eszközön kívül kb. 15 sor python programkódra van szüksége, és máris küldheti az parancsokat az áldozat számítógépére. Adhat utasítást rootkitek vagy trójai vírusok telepítésére is. Ezek után gyakorlatilag akármit megtehet az áldozat számítógépével. Ráadásul egy ilyen támadás már akár 200 méteres távolságból is lehetséges.

Kik az érintett gyártók?

A Bastille kutatói csapata jó pár eszköz tesztelése után borúlátóan áll a helyzethez. Több millió vezeték nélküli billentyűzetet és egeret érinthet a MouseJack. A Bastille honlapján találsz egy listát, ahol konkrét modellszámra bontva láthatod az érintett eszközöket. Sajnos az olyan nagy gyártók termékei is veszélyt jelenthetnek, mint a Dell, Gigabyte, Hp, Lenovo, Logitech vagy a Microsoft.

Mi a teendő, ha olyan billentyűzetet vagy egeret használsz, amit érint ez a probléma?

Mint ahogy olvashattad, a MouseJack támadás gyorsan és olcsón végrehajtható. A tesztek alapján kb 10 másodperc alatt meg lehet fertőzni a számítógépeket ezzel a módszerrel.

Bastille honlapján megtalálod a gyártók közleményeit az üggyel kapcsolatban. A Logitech és a Microsoft már kiadta az USB vevőkhöz készített biztonsági frissítéseket. A Lenovo felajánlotta az érintett eszközök kicserélését, a Dellnél pedig dolgoznak a veszély elhárításán.

Fontos megjegyezni, hogy az érintett eszközök listája nem teljes. Csak azokat találod meg a honlapon, amiket a Bastille csapata tesztelt, és problémásnak talált. Könnyen előfordulhat, hogy ez még bővülni fog a jövőben.

Mindenképp ellenőrizd a Bastille listáját, és frissítsd vagy cseréltesd ki az eszközeidet ha azok sebezhetők. Úgy tűnik, a Bluetooth kommunikáció általában nagyobb biztonságot nyújt ebben a kérdésben, így talán érdemes elgondolkodni az ilyen elven működő vezeték nélküli eszközök használatán.

Rovat:
Kovács Marcell - Crosssec Blog
Szerző:
Kovács Marcell
A Crosssec Solutions marketingvezetőjeként elkötelezett az etikus, jogszerű és edukatív marketingmunka mellett. Marketingismeretei mellett a technológia és az adatvédelem területén is otthonosan mozog, az inbound marketing módszertanát követve tervez és készít tartalmakat.
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram