更多

    Logitech 滑鼠危機再臨 更新靭體最重要

    Mickey Chan
    Mickey Chan
    愛騎單車的宅,眼鏡娘控。 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    2016 年時,有位保安專家 Marc Newlin 發現不少採用 2.4GHz 無線滑鼠和鍵盤的 USB 加密狗存在漏洞,駭客可以用電腦和 USB 無線天線扮演成滑鼠來騎劫遠達 200 公尺外的電腦。其中 Logitech 本來當時已經發布了更新修正問題,不過原來問題還沒有真正過去。最近 Marc 又再在 GitHub 貼文,表示 Logitech 裝置仍然存在漏洞。

    這個被稱為「 MouseJack 」的漏洞 2016 年被 Marc Newlin 發現,他指駭客可以在不接觸目標電腦甚至不知道它的網絡位置下,遙控扮演一個鍵盤,雖然無法看到屏幕上的內容,不過透過鍵盤快捷鍵就可以刪除硬碟內容、打開瀏覽器、安裝惡意程式等。

    Marc Newlin 2016 年就發現不少採用 2.4GHz 無線滑鼠和鍵盤的 USB 加密狗存在漏洞。(來源:CNET)
    Marc Newlin 2016 年就發現不少採用 2.4GHz 無線滑鼠和鍵盤的 USB 加密狗存在漏洞。(來源:CNET)

    而日前 Marc Newlin 又再發表貼文,列出多個 Logitech 配對加密狗的漏洞,有部分雖然已修正,但原來這些修正並未落實到 2016 年以後的產品裡,這些漏洞包括:

    1. 向無線簡報工具如 R400 、 R700 、 R800 進行平文按鍵注入(現在仍然可以購買到未修正的接收器);
    2. 當使用未更新的加密狗,連接有加密的鍵盤時,駭客可以在不知道密鑰之下進行加密按鍵注入(已推出修正);
    3. CVE-2019-13053 :加密按鍵注入(未提供修正);
    4. CVE-2019-13052 :配對時的加密鑰可被捕捉(未提供修正);
    5. CVE-2019-13055 :透過物理連接,從配對裝置的接收器轉存連接加密鑰(修正將於 8 月推出);
    6. CVE-2019-13054 :透過物理連接,從無線簡報工具的接收器轉存連接加密鑰(修正將於 8 月推出);
    7. 強制接收器進行配對;

    據 Logitech 向傳媒 The Verge 證實,他們過評估過對個人和商業用戶的風險後,未有正式回收過任何產品,而是為關注這個漏洞的用戶提供靭體更新。 Logitech 建議用戶要將 USB 接收器的靭體更新至最新版本。

    而據 Marc Newlin 透露,他剛剛買了一套 Logitech M510 滑鼠,卻發現那隻滑鼠仍存在 MouseJack 漏洞。所以大家在買到新滑鼠回來時,一定要切記立即進行靭體更新。而即使當年已經更新了靭體,由於最近會有修正當推出,所以也應該再次更新。

    買了新無線鍵盤和滑鼠,記得一定要更新 USB 加密狗的靭體。
    買了新無線鍵盤和滑鼠,記得一定要更新 USB 加密狗的靭體。

    其實除了 Logitech 之外,專家指滑鼠入侵問題還影響到 Dell 、 HP 、 Lenovo 和 Microsoft ,甚至其他使用相同 Nordic 半導體或德州儀器無線接收晶片和靭體的電腦配件,只不過那些產品不是 Marc Newlin 的研究對象,所以沒有那麼全面的報告而已⋯⋯

    已知 Logitech 無線配件漏洞綜覽: 按此

    您會感興趣的內容

    相關文章