7 апреля в 15:37

Об опасностях беспроводных клавиатур и мышей



Изображение: home thods, Flickr

Компьютерные мыши и клавиатуры с радиоинтерфейсом и USB-трансивером стоят немногим дороже обычных проводных моделей и пользуются популярностью. Но такие устройства не защищены от взлома: собрать набор для проведения атаки можно всего за 300 рублей, а вестись она может с расстояния до 1 км.

Мы протестировали безопасность устройств Logitech, A4Tech и Microsoft. В ходе тестов нам удалось перехватить данные, передаваемые клавиатурами и мышами, дешифровать трафик и осуществить ряд других атак. Обнаруженные уязвимости могут привести к утечке паролей, платежных реквизитов, персональных данных и другой важной информации.

«Стандартные» проблемы


В настоящее время отсутствует стандарт, регулирующий безопасность беспроводных устройств ввода, функционирующих на частоте 2,4 ГГЦ (не путать с Wi-Fi). А потому вопросы защиты остаются целиком на совести производителей. В некоторых моделях при подключении мышей к трансиверу (приемопередатчику) не используются ни механизмы аутентификации, ни шифрование, что позволяет выдать свое устройство за чужую мышь и перехватить управление курсором.

Клавиатуры с радиоинтерфейсом, в отличие от мышей, как правило, шифруют сигнал. Но это не всегда помогает. Во-первых, незашифрованные команды мыши можно использовать для эмуляции ввода с клавиатуры — благодаря унификации протоколов. Такой метод, получивший название MouseJack, показала компания Bastille Networks в феврале 2016 года. Во-вторых, ряд трансиверов позволяют подключать более одного устройства к одному донглу: злоумышленник может использовать удобную опцию, позволяющую не занимать лишние USB-разъемы, и добавить свою беспроводную клавиатуру к легитимно работающей мыши. Наконец, в некоторых моделях клавиатур данные передаются в открытом виде.



Сценарии атак


Прослушивание эфира. Перехват нажатий клавиш клавиатуры, которая не шифрует трафик, грозит утечкой логинов и паролей, пин-кодов карт при онлайн-оплате, личной переписки. Клавиатуры с функцией шифрования также могут быть скомпрометированы, если узнать, как работает криптография в конкретной модели.

Фальсификация отправителя. Вместо легитимного пользователя можно самим отправить команду на нажатие клавиш мыши или клавиатуры, пользуясь тем, что трансивер не сверяет полученный пакет данных с типом передающего устройства. Таким образом можно:

  • открыть консоль, ввести команды удаления всего содержимого компьютера, перезагрузить компьютер и т. п.;
  • запустить браузер, ввести адрес инфицированного сайта, перейти по инфицированной ссылке, загрузить на компьютер вирус.

Вывод из строя оборудования. Разновидность атаки MouseJack. Атака на первый взгляд относительно безобидна. Однако мышка и клавиатура могут быть установлены, например, в качестве пульта охраны или использоваться для работы с какими-нибудь критически важными системами.



Методы атаки


Перехват через NRF24. Данный метод не требует серьезных финансовых вложений и знаний в области радиосвязи. По сути, для атаки нужны аппаратная платформа Arduino, чип NRF24 и ноутбук.

В периферийных устройствах Logitech, A4Tech, Microsoft чаще всего используются чипы NRF24 c частотой 2,4 ГГц, а следовательно — для перехвата и клонирования трафика нужен трансивер с аналогичным чипом. В нашем случае был использован чип nRF24L01+ стоимостью 60 рублей в связке с микроконтроллерами Arduino или Raspberry. У nRF24L01+ существует множество клонов, которые можно купить еще дешевле (sigrok.org/wiki/Protocol_decoder:Nrf24l01). Полностью решение обойдется примерно в 300 рублей.

Перехват через SDR. В ходе прошлогоднего исследования MouseJack специалисты Bastille Networks просканировали эфир с помощью чипа NRF24. Экспертам Positive Technologies удалось воспроизвести атаки с фальсификацией устройств и осуществить прослушку как с помощью с NRF24-модуля, так и посредством SDR-трансивера. Последний метод позволяет исключить возню с проводами, программирование Arduino; все что требуется — воткнуть SDR в USB и запустить сканер. Минус в том, что устройство достаточно дорогое: например, HackRF One с доставкой в Россию стоит около 380 долларов.

Результаты наших тестов


Для наших тестов был написан универсальный программный сканер для SDR и NRF24 (github.com/chopengauer/nrf_analyze), который позволяет слушать эфир, находить и с высокой долей вероятности идентифицировать потенциально уязвимые устройства, что в свою очередь позволяет либо перехватывать данные (сниффить), либо имитировать нажатия клавиатуры и клики мышкой, то есть подменять вводимые данные (спуфить).

Атакующий может находиться, скажем, в машине около бизнес-центра или во дворе многоквартирного дома. Дистанция прослушивания трафика может достигать 100 метров, а при использовании направленных антенн и усилителей еще увеличивается. Если цель заключается в подмене данных и выполнении атаки MouseJack, то радиус нападения увеличивается до 0,5−1 км.

В наших тестах были достигнуты следующие результаты:

  • Microsoft (клавиатура и мышь) — получилось прослушивать и эмулировать, подменять и отправлять команды, а также осуществить атаку MouseJack;
  • A4Tech (мышь) — удалось подменять мышь и переходить на сайты;
  • Logitech (клавиатура и мышь) — удалось вывести их из строя.

Как обезопасить себя


У большинства USB-трансиверов нельзя обновить прошивку, поэтому устранить уязвимости невозможно. Является ли ваше устройство уязвимым, можно проверить на сайте mousejack.com. Если для некоторых устройств не опубликованы методы взлома, это не значит, что их нет.
Главный совет — не использовать беспроводные клавиатуры и мыши для ввода конфиденциальных данных (важных паролей, логинов, данных карт). Особенно это касается общественных мест.

Авторы: Артур Гарипов, Павел Новиков
Автор: @ptsecurity
Positive Technologies
рейтинг 285,47

Комментарии (45)

  • –5
    Главный совет — не использовать беспроводные клавиатуры и мыши для ввода конфиденциальных данных (важных паролей, логинов, данных карт). Особенно это касается общественных мест.
    Мне кажется, в общественных местах быстрей сопрут беспроводную клавиатуру/мышку.

    А у проводных не меньше проблем с безопасностью, что мешает подцепить логгер? Не известно же куда и через что там провод идет.
    • +16
      В статье речь идет не об общественных компьютерах, а об общественных *местах*. Компьютер у вас может быть свой, и беспроводная клава своя. И вы можете со страшной силой сжимать ее в руках, так что никто ее не сопрёт.

      Но если вы при этом сидите на вокзале, то сидящий в соседнем зале пассажир может читать всё, что вы набираете.
      • 0
        Простите, в соседнем зале? Мои мышка и клавиатура перестают работать уже через несколько метров от приемника…
        • +14
          Дистанция работы вашего приемника и дистанция прослушивания (т.е. приемника атакующего) могут быть разные.
        • +5
          Потому что у них приемник слабый. А злоумышленник может иметь мощную антенну и хорошее усиление.
          • +1
            Усиление тут не при чем — ведь усиливается и весь мусор, который засоряет эфир вокруг, и при маломощном передатчике уже на небольшом расстоянии сигнал потонет в шуме. А вот узконаправленная антенна может серьезно увеличить дистанцию перехвата.
            • 0
              Усиление тоже при чем — у приемника есть еще собственный шум, который, простыми словами, тем больше, чем меньше потребляет приемник (спасибо, физика). Так что маломощный свисток, где энергопотребление оптимизировано, чтобы не садить батарейку ноутбука, однозначно проиграет.
        • +4

          У взломщика может быть антена покруче встроенной в свисток.

      • 0
        А стоящий за спиной злоумышленник может не только читать что вы набираете, но и видеть, что вам отвечают.
        Так что вывод информации на экран даже более опасен чем беспроводная клавиатура в плане утечки информации.
        А еще его могут вывести из строя направив яркий сфокусированный луч прямо на экран.
      • 0

        на вокзале с беспроводной клавиатурой? а мышка… посылки в относительных смещениях, даже спрогнозировать куда клик идёт сложно. Пароли жестами? Нужно тогда может быть.

        • 0
          планшет с клавиатурой
    • +9
      Просто придя в любую фирму и посидев на ресепшене пол часика можно заснифать все коды, что вводятся в ИТ-отделе неподалеку. Войти же в кабинет и повесить логгер на клаву будет «чуточку» труднее.
  • 0
    Я приятно удивлен, что в списке устройств нет Apple. Все последние вариации беспроводные.
    • +1
      Приятно, что их не протестировали? Так они же блютусные вроде.
      • 0
        https://habrahabr.ru/company/pt/blog/325932/?reply_to=10160730#comment_10160898
        • 0
          Я понимаю. И согласен с тем, что не совсем очевидно какой класс устройств изучался. Просто у блютуса свои механизмы защиты, стандартные. А в данном случае похоже изучались только собственные протоколы разных производителей.

          Но я вообще даже больше пытался обратить внимание на то, что радуетесь вы, возможно, напрасно. Apple не попала в список уязвимых, но ее продукцию и не проверяли. Так что уязвима она или нет — неизвестно.
          • 0
            Насчет последнего согласен полностью. Когда взломают, будет печально (как мы знаем, нет абсолютной защиты).

            Надеюсь только, что до этого уже сменится поколение периферии.
            • –2
              … там всё тривиально, ничего ломать не надо, надо лишь включить мозг!
              Беда в том, что даже если блютусный девайс припасовывается по уму, есть алгоритмы позволяющие докопаться… В большинстве случаев достаточно просто слушать, или на#$%ать и слушать :-)
    • 0
      Беспроводные мыши, клавиатуры и трекпады Apple подключаются не по радиоинтерфейсу, а по Bluetooth. Отрадно, что в последнее время и среди других производителей устройств ввода Bluetooth пользуется всё большей популярностью.
      • +3
        Справедливости ради, Bluetooth тоже может быть небезопасным, мы про это писали здесь:
        https://habrahabr.ru/company/pt/blog/246855/
      • 0
        Ни в коей мере не подвергая ваши высказывания сомнению, хотел бы отметить, что

        1) заголовок статьи — «Об опасностях беспроводных клавиатур и мышей»
        2) Bluetooth работает на радиочастоте.
        • +1
          И ФАР помогает сечь блютус из далека…
          … в реальной работе всё несколько сложнее, чем тут описывается, так например когда в офисе много одинаковых\разных радио свистков это некоторым образом создаёт проблемы стабильности перехвата издалека, и с большим количеством блютус всё тоже не так тривиально как может показаться на первый взгляд. Грубо говоря два и более набора устройств могут использовать одну частоту\таймслот, из-за малой мощьности\чувствительности, по этому удалённым радиослушателям приходится применять специальные меры что-бы эту кашу как-то разобрать…

          Помнится ещё в школьные годы, мне удавалось прослушивать обычные ps2 клавиатуры через бытовой приёмник, про SDR я тогда был без понятия, но надо думать что у заинтересованных людей с этим было всё в порядке, всё в порядке и сейчас. (пруфы на выставках спецтехники, для имеющих допуск)
  • 0
    #
  • 0
    Из SDR в вашем тесте использовалось именно HackRF One? или что то другое? Подойдет ли RTL2832U+R820T2(дешевый вариант SDR за 400 руб).
    • 0
      Можно использовать любое sdr. Единственное условие-работа в необходимом диапазоне частот (2.4GHz -2.525GHz). Для этих целей RTL-SDR «из коробки» не подойдёт. Ее можно использовать вместе с downconverter-ом (понижающий конвертер).
    • 0
      Полагаю, он не дотянет до частоты 2,4 ГГц.
  • 0
    А как использовать исходники, чтобы проверить это? Или заранее не предполагалась инструкция «для всех» по пользованию исзодников?
  • –2
    Касательно перехвата паролей — еще один повод использовать KeePass.
    • –1

      Вы забыли, что keepass тоже нужно разблокировать паролем с той же самой клавиатуры.

      • –2
        Если мы рассматриваем перехват нажатий, то вору мастер-пароль ничего не даст, файл базы-то он как получит? К тому же, я, например, KeePass вообще не выключваю (часто использую), у меня неделями ноут не перезагужается (только sleep), поэтому мастер-пароль я редко ввожу (вероятность перехвата падает).
        • 0
          файл базы-то он как получит?

          Имя доступ к клавиатуре, заполучить какой либо файл не слишком сложная задача.

  • +2
    Исследуйте популярные принтеры с функцией wi-fi direct, включаешь бывало wifi сканер, а там кучи всяких hp в эфир фонят, на борту там зачастую обрезок linux, ну а вторым концом принтер прицеплен прямо в корпоративную сеть.

    Стараемся вырубать эту функцию в принтерах, так сказать во избежание :)
  • 0
    Привет, Артур! ) Спасибо, что подняли данную тему. По сути вопроса. Беспроводные каналы связи всегда уязвимы к атакам типа MiTM. Это итак было понятно. Просто хорошо что затронули вообще эту тему, подняли её на обсуждение и провели тест в реальных условиях, т.е. выполнили практическую реализацию такого перехвата.
  • 0

    А как приёмники отличают одну мышь от другой? что то типа мак адреса?

    • 0
      Если говорить конкретно о nRF24L01+, то, в принципе, она поддерживает адресацию (в режиме enahnced ShockBurst). Можно разделять по адресу, можно разделять по частотному каналу.
  • 0
    ощущение, будто одну и ту же статью про взлом клавиатур на nrf24 перепечатывают все кому не лень. стойкое ощущение, что читаю это уже раз пятый
  • 0
    Спасибо за интересную статью. Я и не знал, что использование беспроводной мышки хранит в себе столько опасностей!
    • 0

      Более того, за проводными мышками и клавиатурами тоже можно шпионить.
      https://lenta.ru/news/2008/10/21/kbrd/
      Как страшно жить. ©

  • 0

    Если я правильно понял, устройства Logitech изначально были уязвимы, а потом они выпустили обновление прошивки. Не гарантирую, что это официальный ответ, но цифровые подписи были.

  • –1
    У меня есть большие опасения за людей кто пишет такие статьи, и за людей кто читает такие статьи и кто подвержен интернет-фобиям.

    Задача данной статьи — напугать пользователей.

    Такую манеру изложения материала я назвал бы так: насрали и сбежали.

    Таких людей большинство, причем люди не задумываются о том, что говорят. Лишь бы сказать! Это тенденция от окружающего мира, от наших СМИ. Мои друзья периодически получают от меня реверс на такие заявления, после чего, подумав, говорят — «действительно, чего я все ругаюсь, не предлагая пути решения задачи». Хотя, думаю, и сам грешен :)
    • +1
      Ну я, например, зашел на указанный в статье сайт и нашел там обновление прошивки для приемника Logitech Unifying, которое теоретически должно закрыть уязвимость для него. Так что хотя бы для некоторых устройств решение есть — уже хорошо. И спасибо авторам статьи за предупреждение.
  • 0
    Донглы не сверяют тип полученной команды с типом передающего устройства и в результате, они спокойно принимают команды на нажатие клавиш от устройства мыши.
  • 0
    Спасибо за статью, обновил прошивку у себя в Unifying dongle (USB ID 046d:c52b) до 012.007.00029 в ней дырки закрыты.
  • 0
    Спасибо очень интересная статья. Сам часто задумываюсь как же это не безопасно. Все логины и пароли на виду. И главное что ты сам об этом и не подозреваешь. В первый раз узнал что вообще это возможно когда прочитал это на https://www.peerlyst.com/posts/hack-lu-2016-notes-of-mice-and-keyboards-on-the-security-of-modern-wireless-desktop-sets-claus-cramon?trk=search_page_search_result
    Правда на английском. Зато можно посмотреть на youtube презентацию как себя защитить.

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка