Клавиатурная самодеятельность
24 октября 2016
Во всей истории я ровно ни при чем.
Всему виной Пасквале, их слуга!
Он без меня тут перепутал вещи
И умолял меня его спасти,
А я готов для друга разорваться...
Комедию «Труффальдино из Бергамо» (экранизацию по пьесе К. Гольдони «Слуга двух господ») с блистательным Константином Райкиным смотрели многие. Возможна ли описанная ситуация в современном в цифровом мире? Вполне, правда, жизнь вносит в классический сюжет некие поправки.
Разработчики клавиатуры SwiftKey отключили функцию облачной синхронизации после сообщений пользователей о том, что они видели чужие адреса электронной почты и номера телефонов в предиктивном вводе текста. Пользователи жаловались, что клавиатура, используя функцию предиктивного ввода текста, предлагает им чужие номера телефонов и адреса электронной почты. Также отмечались случаи изменения языковых настроек без ведома пользователя.
Клавиатура SwiftKey хранит в облаке все то, что вы набирали на ней ранее. Таким образом, она использует эту информацию для того, чтобы персонализировать функцию предиктивного ввода, сделав ее отдельной для каждого пользователя. Но в данном случае оказалось, что в облачной системе SwiftKey была какая-то ошибка, благодаря которой информация разных пользователей перемешалась между собой.
В настоящее время компания утверждает, что нет никаких причин для паники, и данная проблема совсем не является проблемой безопасности.
https://blog.swiftkey.com/important-information-relating-to-the-status-of-our-sync-services
Умная клавиатура перепутала предпочтения пользователей. Хорошо еще, что не выполняла за них действия!
I reversed engineered the Logitech dongle DFU process so they can run custom firmware and be used for nRF24L sniffing/injection.
https://twitter.com/marcnewlin/status/756229468851695616
Он перепрограммировал эти Unifying Dongle как снифферы. А вообще, насколько я понял, Logitech позволяет злоумышленнику посылать в донгл поддельные нажатия.
То есть, предположим, вы ушли, заблокировали экран, но если донгл (аппаратный ключ) беспроводной клавиатуры остался подсоединенным, злоумышленник может удаленно разблокировать компьютер и выполнить нужные действия?
А еще беспроводные клавиатуры позволяют следить за пользователями:
Хакер по имени Сэми Камкар (Samy Kamkar) создал устройство, которое незаметно собирает данные с беспроводных клавиатур нескольких производителей, включая Microsoft.
Творение Камкара внешне напоминает обычную USB-зарядку. Достаточно разместить его в комнате, где используются беспроводные клавиатуры, и аппарат начнет фиксировать каждое нажатие клавиш.
Аппарат работает как от встроенной батареи, так и от розетки: если его вынуть из последней, красный индикатор погаснет, однако работа продолжится.
Список комплектующих, инструкция по сборке и ссылки на программное обеспечение KeySweeper опубликованы в блоге Сами Камкара на GitHub.
https://tjournal.ru/p/keysweeper
http://www.securitylab.ru/news/469775.php
Беспроводные клавиатуры компаний Hewlett-Packard, Toshiba, Kensington, Insignia, Radio Shack, Anker, General Electric и EagleTec подвержены уязвимости, которая позволяет злоумышленнику перехватывать нажатия клавиш с расстояния вплоть до 75 метров.
Как оказалось, 8 из 12 изученных клавиатур вообще никак не шифруют отправляемые данные.
«Насколько я знаю, нет способа обновить прошивку этих устройств, поскольку все управляющее ПО зашито в чип на плате. Поэтому решить проблему, каким-то образом включив шифрование, нельзя», — говорит Ньюлин.
Ранее Марк Ньюлин, исследователь из Bastille Networks, сообщил о возможности удаленного ввода нажатий кнопок для беспроводной мыши. Исследователь смог отправлять команды для мыши, симулирующие нажатие клавиш клавиатуры (не нажатие кнопок мыши), с расстояния в 225 метров. И операционная система интерпретировала эти сигналы верно, выполняя соответствующую функцию или проставляя символ в редакторе.
Антивирусная правДА! рекомендует
К сожалению, производители устройств пока еще достаточно редко заботятся о безопасности пользователей.
Многие устройства IoT изначально не предполагают возможности обновления, либо же эта процедура слишком неудобна и непрактична. В качестве примера можно взять отзыв 1,4 млн автомобилей Fiat Chrysler в 2015 году для устранения уязвимости, благодаря которой злоумышленник смог взломать автомобиль с помощью беспроводной сети. Эти автомобили необходимо передать дилеру Fiat Chrysler для установки обновлений вручную, либо владелец автомобиля должен установить обновления самостоятельно с помощью ключа USB. Правда заключается в том, что эти обновления с большой вероятностью не будут установлены на значительный процент этих автомобилей, так как процесс обновления неудобен для пользователей, в результате чего они постоянно подвергаются опасности кибератак, особенно если автомобиль во всех остальных аспектах работает исправно.
https://www.internetsociety.org/sites/default/files/report-InternetOfThings-20151221-ru.pdf
И антивирус (как и иные средства защиты) ничего не сможет поделать, если он не будет установлен на атакуемое устройство (а скорее всего, так и произойдет) самим производителем. Пользователь же наверняка не сможет установить антивирус на подобные устройства.
«Спрашивайте в аптеках», — говорят нам в рекламе. Не стоит ли и нам спрашивать у производителей: а какие меры они приняли для нашей защиты от злоумышленников и можно ли будет при обнаружении уязвимости (а она будет найдена!) обновить прошивку устройства для устранения очередной «дыры»? Или нам придется следовать такой рекомендации:
Компания Bastille Networks советует всем владельцам клавиатур с уязвимостью прекратить их использовать, переключившись на проводную или Bluetooth-клавиатуру.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Toma
17:50:19 2019-01-29
ka_s
10:47:08 2018-09-01
Денисенко Павел Андреевич
20:56:32 2018-07-18
vasvet
05:03:21 2018-04-14
alex-diesel
14:47:41 2018-03-23
Шалтай Александр Болтай
16:58:44 2017-03-10
Любитель пляжного футбола
19:48:47 2017-02-12
eaglebuk
11:18:17 2017-02-09
Zserg
21:13:08 2016-11-09
kama35
09:28:17 2016-10-26
2018
18:01:47 2016-10-25
Не увлекайтесь электроникой - она не панацея
tigra
06:53:48 2016-10-25
B0RIS
02:57:32 2016-10-25
Неуёмный Обыватель
00:44:06 2016-10-25
-----
Выходит очень даже странно, сравнивать цену в одном месте на один товар с ценой в другом месте на другой товар. Итак, дополню ваше сравнение для полноты и достоверности ;)
//на Ebay можно купить беспроводную мышь всего лишь за пару долларов
-Действительно, самую дешевую беспроводную мышь удалось обнаружить за 1,09 фунтов, т.е. за 83 руб.
Самую дешевую проводную я там нашел за 0,99 фунтов, то бишь за 75 руб.
Пока результат: 75-83=-8 руб.
//И с батарейками проблему решил: заказал на Ebay десять штук аккумуляторов тоже за копейки (1500 МА/ч)
-10 штук не знаю, но 12 штук примерно за 350 руб нашлись. О качестве нужно догадываться только. Проверенные бренды стоят в разы дороже или даже на порядок.
Пока: -7-350=-357
//Использую зарядное устройство ATABA AT508
-Аха есть такое. Стоят примерно 350 руб.
Пока: +357-350=707
//Стоит отметить, что они достаточно долговечны: прошлая мышь при очень интенсивной нагрузке у меня проработала очень долго да так, что многие брендовые мыши столько не продержатся (года четыре).
-Согласен. Проводные тоже работают примерно столько же, чаще- дольше. У меня, например все мыши (на разных ПК) сейчас с 2010-11 года.
//Разряжаются они в мыши приблизительно на четыре дня.
Ну да, иногда быстрее, иногда медленнее. Потребление электричества за 1 зарядку - 0,035 кВт*ч. За 4 года ~ 13 кВт*ч При цене 3-50~ 45 руб.
Итог: -707 - 45= - 752
Проводная: 75 руб
Беспроводная: 827 руб. Т.е. всего-то в 11 раз дороже ;) И это на самых бюджетных вариантах, придерживаться которых вряд ли будет среднестатистический обыватель. Чаще всего порядок цифр выйдет в 2-3 с лишним тыс руб. А если будет пользоваться не аккумуляторами, а батарейками, то запросто подтянется к 10 тысячам.
**Вот так вот "выходит очень даже выгодно" превращается в крайне невыгодное с финансовой точки зрения мероприятие. Высокая незащищенность с точки зрения информационной безопасности уже приведена в статье.
Заметим, что основной удар беспроводная мышь наносит не по кошельку, а природе и нашему здоровью. Использованные аккумуляторы и батарейки, выброшенные в мусорку, наносят непоправимый удар по экологии. А электромагнитные волны, использующиеся для функционирования этой мыши еще неизвестно как отражаются на здоровье человека. Никто правды нам про это не скажет, а будут пихать результаты наспех проведенных заказных исследований, оплачиваемых самими производителями устройств и разработчиками технологий.
dyadya_Sasha
23:59:06 2016-10-24
krantroru
23:33:36 2016-10-24
AlexeyOloryal
23:00:19 2016-10-24
solec
22:50:56 2016-10-24
Б...а
22:42:13 2016-10-24
Luger
22:34:42 2016-10-24
razgen
21:44:34 2016-10-24
Dvakota
21:35:33 2016-10-24
phkrant
21:09:39 2016-10-24
Mehatronik
21:06:11 2016-10-24
vla_va
21:01:22 2016-10-24
В...а
20:46:20 2016-10-24
bob123456
20:27:06 2016-10-24
НинаК
20:23:26 2016-10-24
bob123456
20:10:39 2016-10-24
_________
Проводные интерфейсы зачастую неудобно использовать. Да, клавиатура - это ещё куда ни шло. Я, например, уже давным-давно не использую проводную мышь: неудобно да и устарели уже проводные мыши. Во время использования проводной мыши очень сильно мешает провод точно так же, как и мешал когда-то шарик (если кто помнит первые мыши). Эти факторы всегда очень сильно раздражали: на шарике всё время налипала грязь, а провод был препятствием для свободного передвижения мыши.
Тем более, что цены на беспроводные мыши сейчас очень доступны, а на Ebay можно купить беспроводную мышь всего лишь за пару долларов, что очень удобно: заказал пару штук, а потом покупаешь по мере необходимости. Стоит отметить, что они достаточно долговечны: прошлая мышь при очень интенсивной нагрузке у меня проработала очень долго да так, что многие брендовые мыши столько не продержатся (года четыре). Вышла из строя только по причине появления двойного клика. И то после этого я перепаял кнопки из старой миши и она стала как новенькая. И с батарейками проблему решил: заказал на Ebay десять штук аккумуляторов тоже за копейки (1500 МА/ч). Использую зарядное устройство ATABA AT508. Аккумуляторы работают долго и хорошо себя окупают. Если они начинают глючить, то сбрасываю несколько раз (заряд-разряд) и переставляю местами, после чего они нормально заряжаются. Лет на пять десять аккумуляторов хватает. Разряжаются они в мыши приблизительно на четыре дня.
Вот так и живу :)
ek
20:07:43 2016-10-24
bob123456
19:47:30 2016-10-24
Но как всегда производители ни за что не отвечают, а пользователь остаётся в дураках. Им лишь бы втюхать товар и умыть руки.
Voin sveta
19:37:55 2016-10-24
kva-kva
19:37:33 2016-10-24
mk.insta
19:28:20 2016-10-24
Voin sveta
19:10:23 2016-10-24
А на счет сверх защищенной клавиатуры - и правда утопия. Даже в военных министерствах и сходных оборонных структурах наверняка стоит и будет стоять везде и у всех проводная мышь и клавиатура. Это и проще, и надежнее, и лучше.
Voin sveta
19:05:23 2016-10-24
А теперь имейте ввиду, что беспроводные клавиатуры компаний Hewlett-Packard, Toshiba, Kensington, Insignia, Radio Shack, Anker, General Electric и EagleTec уязвимы, и ОБНОВИТЬ ИХ ПО (Firmware) НЕЛЬЗЯ!
А так, лучшая гарантия безопасности из существующих - используйте проводные интерфейсы!
Deniskaponchik
18:53:22 2016-10-24
ivan.ivanov1904
18:19:37 2016-10-24
Неуёмный Обыватель
18:09:48 2016-10-24
PITONMAN
17:57:07 2016-10-24
Барс
17:47:47 2016-10-24
P.S: Зачем я это пишу сюда... Ну ладно. Мысль ясно сформулировал. А это уже плюс.
La folle
17:24:33 2016-10-24
Coolander
17:18:37 2016-10-24
kyha4
17:10:20 2016-10-24
Andromeda
16:53:28 2016-10-24
Альфа
16:39:26 2016-10-24
Неуёмный Обыватель
15:25:24 2016-10-24
Azat
14:54:39 2016-10-24
ada
14:42:04 2016-10-24
Hazal
14:28:08 2016-10-24