羅技等品牌無線鍵鼠 USB 接收器,存有多個嚴重資安漏洞,可能遭劫持
- 發布單位:TWCERT/CC
- 更新日期:2019-08-12
- 點閱次數:589
CVE編號
CVE-2019-13052、2019-13053、2019-13054、2019-13055
內文
包括羅技、微軟等主要品牌無線鍵鼠或簡報控制器,其 USB 接收器被資安人員發現存有多個嚴重安全漏洞,駭侵者附了可以竊取鍵盤按鍵資料外,更可以插入按鍵資料,並且取得電腦控制權。
資安人員指出,這些漏洞也能讓駭客取得用於加密鍵鼠通訊的密鑰;甚至還能跳過阻擋不明鍵鼠連線的安全系統。
存有這些安全漏洞的裝置,包括羅技全系列使用「Unifying」USB 接收器的產品線;羅技自 2009 年起使用 Unifying USB 接收器於所有無線滑鼠、鍵盤、軌跡球、簡報控制器等周邊之上。
事實上,這個漏洞並非羅技產品獨有,只要是採用了相同的控制晶片的產品,都存有這個漏洞;受影響的品牌除羅技外,還包括 HP、Dell、Gigabyte、Lenovo、AmazonBasics、微軟的無線鍵鼠產品等;而且因為是硬體的安全漏洞,所以和作業系統無關,包括 Windows、OSX、Linux 等皆受影響。
目前僅有部分廠牌推出更新修補程式,建議以上廠牌無線鍵鼠用戶盡速更新,以免成為駭侵對象。
影響產品
羅技、HP、Dell、Gigabyte、Lenovo、AmazonBasics、微軟等多種無線鍵鼠產品
解決辦法
至各廠牌網站下載安裝更新修補程式
相關連結
- https://www.bastille.net/research/vulnerabilities/mousejack/affected-devices?fbclid=IwAR2-XqecmMnE4S
- https://www.zdnet.com/article/logitech-wireless-usb-dongles-vulnerable-to-new-hijacking-flaws/?fbcli
- https://www.theverge.com/2019/7/14/20692471/logitech-mousejack-wireless-usb-receiver-vulnerable-hack