新聞來源： http://www.ithome.com.tw/news/107375 http://gigazine.net/news/20160729-key-sniffer/ (日文，有圖文說明) ___________________________________________________________ 使用無線鍵盤要小心! 8個品牌鍵盤遭點名含有遠端側錄漏洞 研究人員發現使用非藍牙的無線鍵盤，由於未加密無線通訊協定，駭客可能從幾百呎外利 用特殊的設備，就能側錄使用者所輸入的文字，可能竊取使用者輸入的重要資訊，例如信 用卡卡號、帳號名稱及密碼等等。 含有漏洞的品牌包括Anker、EagleTec、General Electric、Hewlett-Packard、Insignia、Kensington、Radio Shack及Toshiba。 專注於發展大型企業資訊安全服務的Bastille Networks本周指出，眾多品牌的無線鍵盤 含有名為KeySniffer的安全漏洞，將允許駭客自遠端側錄鍵盤所輸入的文字。被點名的品 牌包括Anker、EagleTec、General Electric、Hewlett-Packard、Insignia、Kensington 、Radio Shack及Toshiba。 Bastille Networks安全研究人員Marc Newlin表示，KeySniffer影響的是非藍牙的無線鍵 盤，這些鍵盤使用未加密的無線通訊協定，將允許駭客自幾百呎外，以不到100美元設備 ，監控受害者輸入的所有按鍵，意謂著駭客得以截獲使用者的信用卡號碼、使用者名稱及 密碼、安全問題的答案或其他機密資訊。 無線鍵盤的運作方式是利用使用者安裝在電腦上的USB傳輸器（USB dongle）傳送無線頻 率封包，當使用者於鍵盤上輸入時，USB傳輸器收到鍵盤傳來的封包，再告訴電腦使用者 按了什麼按鍵。 為了避免遭到竊聽，高階鍵盤通常會在無線頻率封包傳送到傳輸器之前進行加密，擁有加 密金鑰的傳輸器解密封包後再告知電腦。 相關攻擊得以實現的主因來自於許多無線鍵盤使用了基於2.4GHz ISM頻段的私有協定進行 通訊，未採用標準協定的缺點在於業者必須自行開發安全機制。 然而，Bastille的研究團隊卻發現許多廉價的無線鍵盤並未加密按鍵資料，除了讓駭客有 機會截獲輸入資料之外，也能藉此傳送惡意的按鍵點擊。 至少有8個品牌的無線鍵盤含有KeySniffer漏洞，Newlin說，這些鍵盤除了缺乏加密機制 之外，也不支援韌體更新，緩解之道是切換到藍牙或有線模式以避免遭到攻擊。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.35.96.251 ※ 文章網址: https://www.ptt.cc/bbs/Key_Mou_Pad/M.1469882611.A.975.html ※ 編輯: vincentpp (114.35.96.251), 07/30/2016 20:45:00