Vigyázat! Az Ön billentyűzetét is lehallgathatják
Számos vezeték nélküli billentyűzet bizonyult sebezhetőnek egy biztonsági kutatás során. Kiderült, hogy az olcsóbb billentyűzetek közül számos semmiféle titkosítást nem alkalmaz.A Bastille biztonsági cég idén egyszer már felhívta a figyelmet arra, hogy a vezeték nélküli perifériák biztonsági kockázatokat vetnek fel. Az év elején a vállalat biztonsági kutatói bemutatták a MouseJack névre keresztelt támadási módszerüket, amellyel jogosulatlan műveleteket tudtak végrehajtani. Nem sokkal később kiderült, hogy a MouseJack féle támadásokkal szemben a szervezetek 80 százaléka kiszolgáltatott. Azóta a Microsoft, a Logitech és a Lenovo is adott már ki frissítéseket annak érdekében, hogy a kockázatokat csökkenteni lehessen.
A biztonsági szakértők azonban tovább gondolkodtak, és egy olyan új technikát dolgoztak ki, amellyel a vezeték nélküli billentyűzeteket tudták célkeresztbe állítani. A KeySniffer néven emlegetett sérülékenység, illetve támadási módszer arra épül, hogy számos vezeték nélküli billentyűzet semmiféle titkosítással nem védi az adatokat.
A nem Bluetooth-ra épülő vezeték nélküli billentyűzetek közül elsősorban az olcsóbb példányok jelentenek kockázatot. A kutatók HP, Toshiba, Insignia, Kensington, Radio Shack, Anker, General Electric és EagleTec termékek között is találtak sérülékeny változatokat. A drágább Lenovo, Dell és Logitech gyártmányú billentyűzetek viszont immunisak voltak a KeySnifferrel szemben. Ugyanakkor a kutatók megjegyezték, hogy még jó néhány olyan billentyűzet lehet a piacon, amelyek szintén nem képesek kellő mértékben megvédeni az adatokat.
A támadási módszer
A KeySniffer kivitelezéséhez a szakemberek egy körülbelül 100 dollárból összeállítható felszerelést használtak, amivel 70-80 méteres körzetben tudtak lehallgatást végezni. A sebezhető billentyűzetek esetében csak össze kellett gyűjteniük a rádiós jeleket, és szöveges (clear text) formátumban ki lehetett nyerni a felhasználó által beírt karaktereket. Az összegyűjtött adatokat pedig elemzésnek lehetett alávetni, aminek során felhasználónevek, jelszavak, hitelkártyaszámok stb. kinyerésére adódott mód.
A lehallgatás mellett a KeySniffernek egy további kockázata is van. Mégpedig, hogy nem kizárólag kémkedésre használható fel, hanem akár manipulációkra is. A kutatók a védtelen adatforgalomba billentyűleütésekhez kapcsolódó jeleket szúrtak be, azaz billentyűleütéseket szimuláltak. Ezzel a módszerrel a vizsgált számítógépre kártékony programot tudtak telepíteni, és különféle parancsokat hajthattak végre.
A Bastille már minden érintett gyártót értesített a felfedezéséről. Azonban eddig csak a Kensington jelezte, hogy hibajavítást készít a sérülékeny billentyűzeteihez. A kutatók ugyanakkor tisztában vannak azzal, hogy sok gyártó nem lesz képes kezelni a kockázatokat, mivel számos sebezhető billentyűzet nem rendelkezik felhasználók által frissíthető firmware-rel.
-
A Google ChromeOS két fontos biztonsági javítást kapott.
-
Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.
-
Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.
-
A cURL fejlesztői négy biztonsági hibáról számoltak be.
-
Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.
-
A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.
-
A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.
-
A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.
-
A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.
-
A Zulip Serverhez egy biztonsági hibajavítás vált elérhetővé.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.