Immagine: SySS GmbH
Fujitsu LX tastiere wireless sono suscettibili di battitura iniezioni, SySS GmbH, una società tedesca di pen-testing studio ha rivelato oggi.
Gli attacchi consentire una minaccia attore per trasmettere i segnali radio senza fili della tastiera ricevitore USB (dongle) e iniettare canaglia tastiera preme sul computer di un utente.
Fujitsu è stata notificata la vulnerabilità, ma non ha rilasciato alcuna patch del firmware.
Bug causato da sviluppatore errore
In un rapporto pubblicato oggi, SySS GmbH ricercatore di sicurezza Matthias Deeg ha detto che la vulnerabilità non è causato dalla tastiera e il suo ricevitore USB che utilizza crittografia debole. Infatti, le due componenti tramite un fissato correttamente canale di comunicazione.
Invece, il difetto risiede con il ricevitore USB da solo, che oltre all’accettazione della tastiera comunicazioni cifrate accetta anche in chiaro i pacchetti di dati che utilizza il formato descritto in una demo kit design che Fujitsu sviluppatori sembrano aver lasciato alle spalle il dongle USB.
Inoltre, Deeg dice che se questa sequenza di tasti iniezione attacco è anche in coppia con un altro precedente Fujitsu tastiera senza fili “replay attack”, ha riportato nel 2016, una minaccia attore in “remoto attacco sistemi di computer con un attivo di blocco schermo” e impianto di malware e, apparentemente sicura di sistemi.
In un’intervista oggi, Deeg detto a ZDNet che ha segnalato il difetto di Fujitsu nel mese di ottobre dello scorso anno, ma non ha sentito da parte della società fin dal 30 ottobre.
“Nella mia comunicazione con Fujitsu per quanto riguarda la pressione di iniezione di vulnerabilità, non ho ricevuto alcun feedback in merito a una patch per questo problema di sicurezza”, il ricercatore ci ha detto quando abbiamo chiesto se Fujitsu ha suggerito che una correzione potrebbe essere rilasciato in futuro, anche dopo la sua divulgazione al pubblico.
Possibilità di un firmware patch sono davvero sottile. Deeg anche detto a ZDNet che Fujitsu non hanno ancora patchato il 2016 vulnerabilità, figuriamoci fornire una timeline per quest’ultimo.
In una risposta fornita al momento e che Deeg condiviso con ZDNet, l’azienda non visualizzare l’applicazione di patch attacco replay come una priorità.
La ringrazio molto per le informazioni sulla nostra tastiera wireless. Come abbiamo già sottolineato in precedenza, riteniamo che lo scenario descritto non è facile per eseguire in condizioni reali, a causa della radio protocollo utilizzato. Come accennato, il nostro prodotto non è destinato a vendere di sicurezza, ma la comodità al primo posto (senza gli svantaggi in chiaro tastiere wireless). Tutte le informazioni e le intuizioni saranno inseriti nel già pianificato successore di prodotto.
In un video demo il SySS ricercatore di sicurezza ha pubblicato su YouTube, il ricercatore mette in mostra una base hardware radio impianto per tirare fuori una sequenza di iniezione attacco.
L’attrezzatura radio, può essere visto sopra, può essere facilmente nascosto sotto i vestiti e una minaccia attore in grado di iniettare malware in automatico sistemi a piedi dal computer di destinazione.
“Io non consigliamo di utilizzare questo vulnerabile tastiera in un ambiente con alti requisiti di sicurezza,” Deeg ci ha detto. “E io consiglio di non usarlo in luoghi esposti a dove attacchi esterni che possono venire facilmente in radio di 2,4 GHz gamma di comunicazione wireless keyboard”.
“E se fossi una società o di un ente pubblico e non mi fido delle persone che hanno accesso alla mia azienda, come dipendenti, appaltatori, o di visitatori, non utilizzare vulnerabili tastiere con il mio computer systems” Deeg ha detto.
Il ricercatore ha anche aggiunto che la migliore mitigazione sarebbe per le imprese di distribuzione di ampie controlli di cui tastiere wireless dovrebbe essere usato.
Altri modelli più probabile impatto
Deeg testato solo un Fujitsu LX901 mouse e tastiera wireless set, però, ha detto che altri modelli LX sono probabilmente influenzati.
“È possibile che la wireless desktop Fujitsu Tastiera Wireless Set LX390 utilizza la stessa radio 2.4 GHz tecnologia ed è influenzato anche da una sequenza di iniezione e/o replay vulnerabilità. Ho solo testato il LX901, perché nel nostro precedente progetto di ricerca “Di mouse e Tastiere: la Sicurezza della Moderna Wireless Desktop Set di” la mia collega Gerhard Klostermeier e ho solo analizzato wireless desktop set utilizzando la crittografia AES.”
Più vulnerabilità di report:
Apple, Google, GoDaddy misissued certificati TLS con deboli di serie numbersMicrosoft Marzo martedì delle Patch viene fornito con correzioni per due Windows zero-day
Nuovo BitLocker attacco mette portatili conservazione di dati sensibili a riskMicrosoft per risolvere romanzo di bug classe’ scoperto da Google engineerVulnerability in Svizzera e-sistema di voto potrebbe aver portato a votare alterationsProof-of-concept code pubblicato per Windows 7 da zero dayDJI correzioni di vulnerabilità che consentono di potenziali hacker spiare droni CNETTop 10 app vulnerabilità senza Patch, i plugin e le estensioni dominare TechRepublic
Argomenti Correlati:
Hardware
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati