Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Клавиатурная самодеятельность

Прочитали: 4317 Комментариев: 140 Рейтинг: 297

Во всей истории я ровно ни при чем.
Всему виной Пасквале, их слуга!
Он без меня тут перепутал вещи
И умолял меня его спасти,
А я готов для друга разорваться...

Комедию «Труффальдино из Бергамо» (экранизацию по пьесе К. Гольдони «Слуга двух господ») с блистательным Константином Райкиным смотрели многие. Возможна ли описанная ситуация в современном в цифровом мире? Вполне, правда, жизнь вносит в классический сюжет некие поправки.

Разработчики клавиатуры SwiftKey отключили функцию облачной синхронизации после сообщений пользователей о том, что они видели чужие адреса электронной почты и номера телефонов в предиктивном вводе текста. Пользователи жаловались, что клавиатура, используя функцию предиктивного ввода текста, предлагает им чужие номера телефонов и адреса электронной почты. Также отмечались случаи изменения языковых настроек без ведома пользователя.

Клавиатура SwiftKey хранит в облаке все то, что вы набирали на ней ранее. Таким образом, она использует эту информацию для того, чтобы персонализировать функцию предиктивного ввода, сделав ее отдельной для каждого пользователя. Но в данном случае оказалось, что в облачной системе SwiftKey была какая-то ошибка, благодаря которой информация разных пользователей перемешалась между собой.

В настоящее время компания утверждает, что нет никаких причин для паники, и данная проблема совсем не является проблемой безопасности.

https://blog.swiftkey.com/important-information-relating-to-the-status-of-our-sync-services

http://www.anti-malware.ru/news/2016-08-01/20502

Умная клавиатура перепутала предпочтения пользователей. Хорошо еще, что не выполняла за них действия!

I reversed engineered the Logitech dongle DFU process so they can run custom firmware and be used for nRF24L sniffing/injection.

https://twitter.com/marcnewlin/status/756229468851695616

Он перепрограммировал эти Unifying Dongle как снифферы. А вообще, насколько я понял, Logitech позволяет злоумышленнику посылать в донгл поддельные нажатия.

https://geektimes.ru/post/278904

То есть, предположим, вы ушли, заблокировали экран, но если донгл (аппаратный ключ) беспроводной клавиатуры остался подсоединенным, злоумышленник может удаленно разблокировать компьютер и выполнить нужные действия?

А еще беспроводные клавиатуры позволяют следить за пользователями:

Хакер по имени Сэми Камкар (Samy Kamkar) создал устройство, которое незаметно собирает данные с беспроводных клавиатур нескольких производителей, включая Microsoft.

#drweb

Творение Камкара внешне напоминает обычную USB-зарядку. Достаточно разместить его в комнате, где используются беспроводные клавиатуры, и аппарат начнет фиксировать каждое нажатие клавиш.

Аппарат работает как от встроенной батареи, так и от розетки: если его вынуть из последней, красный индикатор погаснет, однако работа продолжится.

Список комплектующих, инструкция по сборке и ссылки на программное обеспечение KeySweeper опубликованы в блоге Сами Камкара на GitHub.

https://tjournal.ru/p/keysweeper

http://www.securitylab.ru/news/469775.php

Беспроводные клавиатуры компаний Hewlett-Packard, Toshiba, Kensington, Insignia, Radio Shack, Anker, General Electric и EagleTec подвержены уязвимости, которая позволяет злоумышленнику перехватывать нажатия клавиш с расстояния вплоть до 75 метров.

Как оказалось, 8 из 12 изученных клавиатур вообще никак не шифруют отправляемые данные.

«Насколько я знаю, нет способа обновить прошивку этих устройств, поскольку все управляющее ПО зашито в чип на плате. Поэтому решить проблему, каким-то образом включив шифрование, нельзя», — говорит Ньюлин.

Ранее Марк Ньюлин, исследователь из Bastille Networks, сообщил о возможности удаленного ввода нажатий кнопок для беспроводной мыши. Исследователь смог отправлять команды для мыши, симулирующие нажатие клавиш клавиатуры (не нажатие кнопок мыши), с расстояния в 225 метров. И операционная система интерпретировала эти сигналы верно, выполняя соответствующую функцию или проставляя символ в редакторе.

https://geektimes.ru/post/278904

#уязвимость #Интернет_вещей #периферийное_устройство #безопасность

Dr.Web рекомендует

К сожалению, производители устройств пока еще достаточно редко заботятся о безопасности пользователей.

Многие устройства IoT изначально не предполагают возможности обновления, либо же эта процедура слишком неудобна и непрактична. В качестве примера можно взять отзыв 1,4 млн автомобилей Fiat Chrysler в 2015 году для устранения уязвимости, благодаря которой злоумышленник смог взломать автомобиль с помощью беспроводной сети. Эти автомобили необходимо передать дилеру Fiat Chrysler для установки обновлений вручную, либо владелец автомобиля должен установить обновления самостоятельно с помощью ключа USB. Правда заключается в том, что эти обновления с большой вероятностью не будут установлены на значительный процент этих автомобилей, так как процесс обновления неудобен для пользователей, в результате чего они постоянно подвергаются опасности кибератак, особенно если автомобиль во всех остальных аспектах работает исправно.

https://www.internetsociety.org/sites/default/files/report-InternetOfThings-20151221-ru.pdf

И антивирус (как и иные средства защиты) ничего не сможет поделать, если он не будет установлен на атакуемое устройство (а скорее всего, так и произойдет) самим производителем. Пользователь же наверняка не сможет установить антивирус на подобные устройства.

«Спрашивайте в аптеках», — говорят нам в рекламе. Не стоит ли и нам спрашивать у производителей: а какие меры они приняли для нашей защиты от злоумышленников и можно ли будет при обнаружении уязвимости (а она будет найдена!) обновить прошивку устройства для устранения очередной «дыры»? Или нам придется следовать такой рекомендации:

Компания Bastille Networks советует всем владельцам клавиатур с уязвимостью прекратить их использовать, переключившись на проводную или Bluetooth-клавиатуру.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: