廉价无线键盘出现安全漏洞，黑客网购天线即可隔空监听

电脑无线设备屡现安全漏洞，继早前 Unwire.pro 报导过的伪装充电器 KeySweeper 键盘监听设备及MouseJack 远距离入侵攻击，近日电脑保安公司 Bastille 再揭露廉价无线设备的安全漏洞。该公司透过自行研发的 Keysniffer 程序配合网购的讯号转发器，即可扫描到百米范围内具安全漏洞的无线键盘，并隔空监听用户输入的所有资料。

受影响的无线键盘主要是使用了非蓝牙的廉价讯号收发芯片，这类设备基于无线射频讯号来连接 USB 讯号收发设备与键盘，但其中的讯号传输未有经过安全加密，因此能轻易被 KeySniffer 程序截取监听。

Bastille 的安全研究员 Marc Newlin 在示范影片中演示监听过程，从影片中可见，利用 KeySniffer 程序再配合在网购平台购买的 USB 无线讯号转发设备，攻击者即可扫描附近有安全漏洞的无线键盘，并监听用户在该键盘上输入的资料，意味着受攻击者有可能泄漏身份资料、银行帐号密码或信用卡资料等。

一如过往揭露 MouseJack 攻击方式，Bastille 在发现漏洞后已向相关厂商通报，而攻击亦仅做为研究之用，因此不会对外发布攻击程序，但不排除其他黑客能研发出类似程序的可能性。

安全人员建议转用有线或蓝牙键盘

据悉，配合无线讯号转发设备的 Keysniffer 可扫描并监听百米范围内的漏洞设备，HP、Toshiba、Anker、EagleTec、General Eletric、Insignia、Kensington、Radio Shack 8 间厂商均有无线键盘受安全漏洞影响，Marc Newlin 在影片中建议用户可使用有线键盘或蓝牙无线键盘。

其中一间受影响产品的厂商 Kensington 则回应，目前仅得知一款无线键盘受 Keysniffer 所利用的安全漏洞影响，并已发布 AES 加密的更新固件供用户使用。

KeySniffer Lets Hackers Steal Keystrokes from Wireless Keyboards