羅技的無線和鼠標(biāo)鍵盤的USB接收器驚現(xiàn)安全漏洞，隨時(shí)令你部電腦被黑客入侵？近日有網(wǎng)絡(luò)保安研究專家發(fā)現(xiàn)，羅技 無線鼠標(biāo)和鍵盤的USB接收器有4個(gè)安全漏洞，可能容許黑客以猶如物理控制的方式侵入目標(biāo)電腦。究竟漏洞出現(xiàn)原因何在？又有無解決方法？

　　羅技的無線鼠標(biāo)和鍵盤，跟市面上大部份無線電腦硬件一樣，都運(yùn)用到中文界俗稱“軟件狗”、“加密狗”的軟件保護(hù)器。簡單而言，USB Dongle是USB裝置常備部份，通常是一粒細(xì)小的接收器，相信大家都應(yīng)該認(rèn)識(shí)。而羅技無線產(chǎn)品的保安漏洞，正正在于其應(yīng)用Unifying無線技術(shù)的dongles中。

　　外媒《The Verge》和《ZDNet》報(bào)導(dǎo)，網(wǎng)絡(luò)保安研究員Marcus Mengs發(fā)現(xiàn)羅技無線產(chǎn)品的Unifying接收器存在安全漏洞，影響該廠牌旗下部份的無線鼠標(biāo)、鍵盤和簡報(bào)遙控器。Mengs在編程討論區(qū)Github上分享了詳盡研究報(bào)告，并已向羅技匯報(bào)了漏洞。

　　他發(fā)現(xiàn)的這些漏洞，容許黑客試探鍵盤流量，“隔空”注入鍵擊（情況是，連插入了電腦、卻未連接到無線鍵盤的Unifying接收器也能騎劫）并接管接收器所連接的電腦。黑客還能記錄鼠標(biāo)的點(diǎn)選記錄，從而控制目標(biāo)電腦系統(tǒng)，將之當(dāng)作發(fā)動(dòng)點(diǎn)開展攻擊。

　　更嚴(yán)重的是，漏洞在技術(shù)上幾乎防不勝防。當(dāng)羅技產(chǎn)品使用加密來保護(hù)dongles跟其配對(duì)裝置之間的連接時(shí)，這些漏洞還允許攻擊者恢復(fù)加密密鑰。此外，如果USB dongles使用“密鑰黑名單”來阻止配對(duì)裝置注入鍵擊，漏洞更允許黑客繞過此度安全保護(hù)系統(tǒng)！

　　Mengs識(shí)別出羅技的Unifying USB dongles／接收器存在的漏洞有4種，多數(shù)被黑客利用竊取或越過加密密鑰，來進(jìn)行物理入侵：

　　CVE-2019-13052（捕獲Unifying dongles和羅技無線裝置之間的配對(duì)；恢復(fù)用于加密兩個(gè)組件之間流量的密鑰。黑客使用被盜鑰匙，能夠進(jìn)行任意擊鍵、遠(yuǎn)程竊聽和實(shí)時(shí)解密鍵盤輸入）

　　CVE-2019-13053（即使黑客不知道加密密鑰，也可通過此漏洞將鍵擊注入U(xiǎn)SB dongles和羅技裝置之間的加密通信流）CVE-2019-13054（因?yàn)閁SB dongles附帶了無紀(jì)錄的供應(yīng)商命令，和不正確或不足的數(shù)據(jù)保護(hù)，使黑客可以輕松儲(chǔ)存dongles上的加密密鑰。）