无线鼠标惊爆安全漏洞!毫无知觉全格硬盘、安装恶意程序
2019-07-15 13:02:58 EETOP
随后研究人员向罗技官方上报了发现的4个漏洞,不过罗技官方表示只会修复CVE-2019-13054和CVE-2019-13055两个漏洞,这两个漏洞会在今年8月推出的固件更新中修复,至于另外两个漏洞CVE-2019-13052和CVE-2019-13053则不会进行修复。官方表示会修复的两个漏洞将影响Logitech R500,SPOTLIGHT,还有所有配备这款USB接收器的无线键盘。
存在漏洞隐患的的USB接收器在2016年已经被发现有问题,不过罗技官方并没有召回这些产品,这些产品仍旧和其他无线键盘和滑鼠产品继续在市场中销售。不过用户可以及时更新固件避免自己的数据及信息被泄露。
三年半前,外媒The Verge的编辑Sean Hollister亲眼见证了安全专家Marc Newlin在不物理接触设备、甚至不需要知道IP地址的情况下,利用罗技无线鼠标上的小型USB收发器触发几行代码,就可以实现全格硬盘、安装恶意程序等一系列操作,更糟糕的是整个操作就像物理访问该电脑一样。于是在2016年,外媒The Verge发表了关于“MouseJack”的黑客方式,罗技官方随后也立即发布了紧急修复补丁来修复这个问题。
然而本周早些时候,安全专家Marcus Mengs表示罗技的无线Unifying dongles实际上依然存在漏洞,非常容易受到黑客的攻击。当用户配对新的鼠标或者键盘时候,就有机会入侵你的电脑。
而且Mengs表示罗技依然在销售那些容易受到MouseJack黑客攻击的USB收发器。随后外媒TheVerge就立即联系Newlin,随后他表示在近期购买的罗技M510鼠标上依然搭配的是这种有安全漏洞的USB收发器。
随后外媒The Verge联系了罗技,一位公司代表承认市场上依然存在一些尚未打上补丁的USB收发器。事实上,在2016年年初被曝光MouseJack漏洞以来公司并没有真正意义上的产品召回。
罗技评估了企业和消费者的风险,并没有召回已经进入市场和供应链的产品或组件。我们为任何特别关注的客户提供了固件更新,并对以后生产的产品进行了更改。
罗技代表表示公司确实为新制造的产品“逐步修复”,但他们还不能确认何时在工厂进行了更改。
根据Newlin的说法,MouseJack并不仅限于罗技,戴尔,惠普,联想和微软等使用了Nordic等公司芯片和固件的无线接收器均存在相同的问题。不过罗技的优点之一,就是允许用户更新这些无线接收器的固件。
*免责声明:本文由作者原创。文章内容系作者个人观点,转载目的在于传递更多信息,并不代表EETOP赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请及时联系我们,我们将在第一时间删除!
EETOP 官方微信
创芯大讲堂 在线教育
创芯老字号 半导体快讯
相关文章