【被鍵盤打臉】密碼設 500 個字也沒用,因為出賣你的是無線鍵盤!

示意圖,圖中產品非本次主角。

【為什麼我們要挑選這篇文章】

密碼設太短,馬上被人猜。
那我設長一點總行了吧?

很抱歉,如果你用的是無線鍵盤,有可能你設再長都沒有用。

(責任編輯:林厚勳)

人生處處有(被)驚(打)喜(臉)。

不久前宅宅一篇 黑客教你設置一億年都破解不了的密碼 引來底下讀者的歡呼,大家紛紛感謝小編提供的複雜密碼「teabrownpicture4」,甚至當下表示已加入豪華字典。

萬萬沒想到,費勁巴拉設置的密碼竟然沒用了!人生人生。

到底怎麼回事?

這可不是無稽之談,雷鋒網編輯最近就在外網上看到一則消息,一家監測網絡安全公司 Bastille Network 發出警告稱駭客可以黑進無線鍵盤。

實際上早在 2016 年二月份,這家公司就曾發現駭客可以在 100 公尺內攻擊利用無線連接的鍵盤和滑鼠,並安裝惡意軟體或利用這些設備駭進用戶的網路中。

而這次他們又發現了新情況,駭客可以在更遠的範圍(離目標 250 英呎,約 76.25 公尺)內黑進利用無線連接的鍵盤,並盜取你每一次敲擊鍵盤的資訊。這意味著,他們不用跟你面對面就能輕鬆盜取你的密碼、安全問題等隱私訊息。

試想一下,你吃著炸雞喝著啤酒打開遊戲,在無線鍵盤上登陸後點擊加值,輸入的帳號號和密碼最後竟都落在別人手中……

黑客教你设置一亿年都没法破解的密码... 蛤?没用了?

鍵盤在手,密碼你有我也有

極度神速:城主卡你給多少?

xiner:1300 賣嗎?

極度神速:1300 哈哈,你說笑是不是

xiner: 那你說多少??

極度神速:6W

上述對話在遊戲場景中很常見,而實際中需要加值的也遠不止於此,比如看影片,看小說,看直播……此時,你被駭的無線鍵盤將變成那把能打開各個帳戶的「萬能鑰匙」。

攻擊者究竟如何駭掉你的無線鍵盤?在此之前,我們先瞭解一下無線鍵盤的工作原理。

無線鍵盤是採用 DRF(Digital radio frequency,數位無線電頻率)技術來達到數據之間的轉換,在用戶按鍵按下或抬起按鍵的時候,訊息就轉化為相應的射頻消息,然後將消息發送給適配器。適配器在接收到消息之後,會將消息按照規則轉化為用戶的輸入遞交給電腦進行處理。

要知道,在我們使用電腦時,所有訊息輸入媒介都是鍵盤,這其中就包括帳號密碼等機密訊息,一旦攻擊者採用鍵盤偵聽,那用戶輸入的所有訊息都將洩露。

此時,任你設置「teabrownpicture4」這種需要駭客破解一億年的密碼都沒用,攻擊者可以直接拿到你輸入的密碼。另外,與傳統的鍵盤偵聽手段不同,直接監聽射頻消息的攻擊過程十分隱秘,用戶完全無法察覺。

也就是說,直到銀行戶頭裡的錢沒了,你可能都不知道攻擊者曾暗中搞到了你的帳號密碼。

黑客教你设置一亿年都没法破解的密码... 蛤?没用了?

沒錯,就是這種操作

聽起來駭客通過嗅探甚至劫持存在漏洞的無線鍵鼠(MouseJack),從而控制受害者電腦這一過程似乎並不複雜,其具體是如何操作的?

來自 360 無線電安全研究部的雪碧 0xroot 告訴雷鋒網編輯,要達到 MouseJack 的攻擊通常分為三部分:

1. 在很多情況下,一個範圍內會有許多的無線滑鼠、無線鍵盤,為了要弄清楚哪個是我們的目標,通常會對區域內所有無線鼠標、鍵盤的通信流量進行掃瞄、嗅探;

2. 當得到了足夠的流量數據包,接下來便需要對掃瞄嗅探到的無線鍵通信流量進行逆向分析;

3. 通過逆向分析得到無線鍵鼠的信號特徵後,便可以使用特定工具偽造無線鍵鼠的數據包,實現模擬對鼠標鍵盤的操作,從而達到控制電腦的目的。

雪碧 0xroot 也表示,準確說,MouseJack 實現的並非是駭進用戶電腦,而是利用了無線鍵鼠與插在電腦上的適配器它們之間無線通信沒有採用加密,導致駭客可對一兩百公尺範圍內的無線鍵鼠進行流量嗅探、通信流量的劫持來控制存在漏洞的電腦。

也就是說,當你的無線鍵鼠存在這一漏洞,駭客便能利用這個漏洞「奪取」你的無線滑鼠鍵盤來控制你的電腦。

黑客教你设置一亿年都没法破解的密码... 蛤?没用了?

而 Bastille Network 的安全研究人員也表示,他們測試了 12 個來自來自不同廠商的低價鍵盤, 發現包括東芝、惠普(HP)、Anker、EagleTec、Kensington、Insignia、Radio Shack 及 General Electric 八家品牌的無線鍵盤未對無線電進行加密,容易受到攻擊。

猜猜這些品牌最低價的鍵盤在亞馬遜(Amazon)上平均售價是多少? 19 美元(約為台幣 600 元)。

沒想到吧,貪了個小便宜竟然惹上駭客了。

黑客教你设置一亿年都没法破解的密码... 蛤?没用了?

hmmmm 好像不用過於擔心?

隨著這一漏洞的曝光,吃瓜群眾紛紛擔憂起自己手中的無線鍵盤,癱著都不開心了。

雖然聽起來有點怕怕,不過也不用過度擔心,畢竟無線鍵鼠採用 2.4GHz 的短距離無線傳輸(藍牙、WiFi 使用的也是 2.4GHz 無線技術),黑客只能在離目標一定範圍內進行攻擊,比如你在家癱著他可能就要蹲在你家門口操作。另外,無線信號傳輸距離的遠近取決於天線的大小和功率,如果你有大功率的天線也許能突破一兩百公尺的距離,但也有一定的距離限制。

黑客教你设置一亿年都没法破解的密码... 蛤?没用了?

雪碧 0xroot 還告訴雷鋒網編輯,MouseJack 的這個漏洞僅存在於使用了 Nordic 北歐無線芯片,且廠商未對無線通信採用加密技術的特定滑鼠鍵盤中。而那些有足夠安全意識的廠商則通常會對無線通信進行加密傳輸,這樣他們的無線鍵盤鼠標就不受這個漏洞的影響。

而目前這 8 家上榜的公司僅有做電腦周邊產品的 Kensington 做出了回應。其發言人 Denise Nelson 稱目前他們正在與 Bastille Network 合作,採取措施來彌補,並稱新出的無線鍵盤將對鍵盤進行加密,但對於已發佈投入使用的無線鍵盤加密情況,其表示並不瞭解。

hmmmm,如果不幸躺槍,使用的無線鍵盤正是上榜的這 8 家公司產品,那就……X 了個 X?

黑客教你设置一亿年都没法破解的密码... 蛤?没用了?

(本文經合作夥伴 雷鋒網 授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文標題為 〈 黑客教你设置一亿年都没法破解的密码… 蛤?没用了? 〉,首圖來源:Free-Photos,CC Licensed。)

延伸閱讀

重大資安漏洞!英國媒體報導:全球所有 Wifi 都可能被駭了
資料外洩不全是駭客搞鬼,6 成以上都是公司內部人員耍笨了!
藍牙爆出大漏洞!全球 53 億個設備中獎,駭客只要「靠近」就能偷用你的照相機
天才駭客少年用一隻「熊」駭進全場藍芽:「物聯網沒有做好保護,就全是漏洞」


別讓網路成為企業生產力的絆腳石

一步驟提升管理效率,不讓 IT 人員疲於奔命

即刻了解

 

點關鍵字看更多相關文章: