羅技舊款 Unifying 無線產品爆出漏洞,可能遭駭客攻擊安裝惡意軟體

作者 | 發布日期 2019 年 07 月 17 日 9:00 | 分類 周邊 , 網路 , 資訊安全 follow us in feedly


2016 年羅技的無線鍵盤、無線滑鼠,甚至無線簡報器產品,遭爆出 MouseJack 重大安全性漏洞,駭客可透過數行代碼,找出周遭的羅技 Unifying 無線接收器,接著對安裝該接收器的電腦,植入惡意軟體甚至清除磁碟內容。

當羅技 2016 年遭爆 MouseJack 漏洞後,官方也立即發出相關更新,本以為風暴就此平息,沒想到 3 年後的現在,安全研究人員 Marcus Mengs 發現,羅技的 Unifying 接收器依然容易遭各種新發現的駭客手段攻擊。

這些在羅技 Unifying 接收器新發現的漏洞,編號為 CVE-2019-13052、CVE-2019-13053、CVE-2019-13054 與 CVE-2019-13055,羅技預計 8 月釋出更新,修補後兩個漏洞,但前兩個漏洞因會影響產品效能,且攻擊手段有一定難度,所以放棄修正。

更值得消費者注意的是,擁有上述漏洞的產品,目前依然於市面銷售,且自 2016 年爆出 MouseJack 安全性問題後,羅技並沒有實質召回任何擁有漏洞的產品,僅釋出了部分更新。

雖然羅技聲稱,不召回產品是評估企業和消費者風險後所下的決定,但羅技也曾指出,他們會「逐步修復」這些漏洞,但很顯然成效不彰。

只不過,這些漏洞實際上也不只存在於羅技的鍵鼠產品,MouseJack 也影響來自 DELL、HP、Lenovo 和微軟的裝置,可能原因是這些裝置的無線接收器,同樣採用 Nordic 和德州儀器開發的晶片,由於羅技允許使用者更新 Unifying 接收器韌體,因此羅技產品相對之下反倒更安全。

以下是一些示範 CVE-2019-13052、CVE-2019-13053、CVE-2019-13054 與 CVE-2019-13055 等漏洞的攻擊影片,部分產品將在 8 月獲得相應更新,如果仍在使用較舊裝置的朋友,或許可以考慮購入新產品(前提是羅技先將舊產品下架),避免可能的安全風險。

(本文由 T客邦 授權轉載;首圖來源:pixabay

關鍵字: , , ,