人生處處有(被)驚(打)喜(臉)。

　　不久前宅宅一篇黑客教你設(shè)置一億年都破解不了的密碼引來(lái)底下讀者的歡呼，大家紛紛感謝小編提供的復(fù)雜密碼“teabrownpicture4”，甚至當(dāng)即表示已加入豪華字典。

　　萬(wàn)萬(wàn)沒(méi)想到，費(fèi)勁巴拉設(shè)置的密碼竟然沒(méi)用了!人生人生。

　　到底怎么回事?

　　這可不是無(wú)稽之談，雷鋒網(wǎng)編輯最近就在外網(wǎng)上看到一則消息，一家監(jiān)測(cè)網(wǎng)絡(luò)安全公司 Bastille Network 發(fā)出警告稱黑客可以黑進(jìn)無(wú)線鍵盤(pán)。

　　實(shí)際上早在 2016 年二月份，這家公司就曾發(fā)現(xiàn)黑客可以在 100 米內(nèi)攻擊利用無(wú)線電連接的鍵盤(pán)和鼠標(biāo)，并安裝惡意軟件或利用這些設(shè)備黑進(jìn)用戶的網(wǎng)絡(luò)中。

　　而這次他們又發(fā)現(xiàn)了新情況，黑客可以在更遠(yuǎn)的范圍(離目標(biāo) 250 英尺，約 76.25 米)內(nèi)黑進(jìn)利用無(wú)線電連接的鍵盤(pán)，并盜取你每一次敲擊鍵盤(pán)的信息。這意味著，他們不用跟你面對(duì)面就能輕松盜取你的密碼、安全問(wèn)題等隱私信息。

　　試想一下，你吃著炸雞喝著啤酒打開(kāi)游戲，在無(wú)線鍵盤(pán)上登陸后點(diǎn)擊充值，輸入的賬號(hào)和密碼最后竟都落在別人手中……

　　鍵盤(pán)在手，密碼你有

　　極度神速：城主卡你給多少?

　　xiner：1300賣(mài)嗎?

　　極度神速：1300哈哈，你說(shuō)笑是不是

　　xiner:那你說(shuō)多少??

　　極度神速：6W

　　上述對(duì)話在游戲場(chǎng)景中很是常見(jiàn)，而實(shí)際中需要充錢(qián)的也遠(yuǎn)不止于此，比如看視頻，看小說(shuō)，看直播……此時(shí)，你被黑的無(wú)線鍵盤(pán)將變成那把能打開(kāi)各個(gè)賬戶的“萬(wàn)能鑰匙”。

　　攻擊者究竟如何黑掉你的無(wú)線鍵盤(pán)?在此之前，我們先了解一下無(wú)線鍵盤(pán)的工作原理。

　　無(wú)線鍵盤(pán)是采用DRF(Digital radio frequency，數(shù)字無(wú)線電頻率)技術(shù)來(lái)實(shí)現(xiàn)數(shù)據(jù)之間的轉(zhuǎn)換，在用戶按鍵按下或抬起按鍵的時(shí)候，信息就轉(zhuǎn)化為相應(yīng)的射頻消息，然后將消息發(fā)送給適配器。適配器在接收到消息之后，會(huì)將消息按照規(guī)則轉(zhuǎn)化為用戶的輸入遞交給計(jì)算機(jī)進(jìn)行處理。

　　要知道，在我們使用電腦時(shí)，所有信息輸入媒介都是鍵盤(pán)，這其中就包括賬號(hào)密碼等機(jī)密信息，一旦攻擊者采用鍵盤(pán)偵聽(tīng)，那用戶輸入的所有信息都將泄露。

　　此時(shí)，任你設(shè)置“teabrownpicture4”這種需要黑客破解一億年的密碼都沒(méi)用，攻擊者可以直接拿到你輸入的密碼。另外，與傳統(tǒng)的鍵盤(pán)偵聽(tīng)手段不同，直接監(jiān)聽(tīng)射頻消息的攻擊過(guò)程十分隱秘，用戶完全無(wú)法察覺(jué)。

　　也就是說(shuō)，直到銀行卡里的錢(qián)沒(méi)了，你可能都不知道攻擊者曾暗戳戳搞到了你的賬號(hào)密碼。

　　沒(méi)錯(cuò)，就是這種操作

　　聽(tīng)起來(lái)黑客通過(guò)嗅探甚至劫持存在漏洞的無(wú)線鍵鼠(MouseJack)，從而控制受害者電腦這一過(guò)程似乎并不復(fù)雜，其具體是如何操作的?

　　來(lái)自 360 無(wú)線電安全研究部的雪碧0xroot 告訴雷鋒網(wǎng)編輯，實(shí)現(xiàn) MouseJack 的攻擊通常分為三部分：

　　1.在很多情況下，一個(gè)范圍內(nèi)會(huì)有許多的無(wú)線鼠標(biāo)、無(wú)線鍵盤(pán)，為了要弄清楚哪個(gè)是我們的目標(biāo)，通常會(huì)對(duì)區(qū)域內(nèi)所有無(wú)線鼠標(biāo)、鍵盤(pán)的通信流量進(jìn)行掃描、嗅探;

　　2.當(dāng)?shù)玫搅俗銐虻牧髁繑?shù)據(jù)包，接下來(lái)便需要對(duì)掃描嗅探到的無(wú)線鍵通信流量進(jìn)行逆向分析;

　　3.通過(guò)逆向分析得到無(wú)線鍵鼠的信號(hào)特征后，便可以使用特定工具偽造無(wú)線鍵鼠的數(shù)據(jù)包，實(shí)現(xiàn)模擬對(duì)鼠標(biāo)鍵盤(pán)的操作，從而達(dá)到控制電腦的目的。

　　雪碧0xroot 也表示，準(zhǔn)確說(shuō)，MouseJack實(shí)現(xiàn)的并非是黑進(jìn)用戶電腦，而是利用了無(wú)線鍵鼠與插在電腦上的適配器它們之間無(wú)線通信沒(méi)有采用加密，導(dǎo)致黑客可對(duì)一兩百米范圍內(nèi)的無(wú)線鍵鼠進(jìn)行流量嗅探、通信流量的劫持來(lái)控制存在漏洞的電腦。

　　也就是說(shuō)，當(dāng)你的無(wú)線鍵鼠存在這一漏洞，黑客便能利用這個(gè)漏洞“奪取”你的無(wú)線鼠標(biāo)鍵盤(pán)來(lái)控制你的電腦。

　　而 Bastille Network 的安全研究人員也表示，他們測(cè)試了 12 個(gè)來(lái)自來(lái)自不同廠商的低價(jià)鍵盤(pán)，包括東芝、惠普、Anker、EagleTec、Kensington、Insignia、Radio Shack 及 General Electric 八家品牌的無(wú)線鍵盤(pán)未對(duì)無(wú)線電進(jìn)行加密，容易受到攻擊。

　　猜猜這些品牌最低價(jià)的鍵盤(pán)在亞馬遜上平均售價(jià)是多少? 19 美元。

　　沒(méi)想到吧，貪了個(gè)小便宜竟然惹上黑客了。

　　emmmm好像不用過(guò)于擔(dān)心?

　　隨著這一漏洞的曝光，吃瓜群眾紛紛擔(dān)憂起自己手中的無(wú)線鍵盤(pán)，癱著都不開(kāi)心了。

　　雖然聽(tīng)起來(lái)有點(diǎn)怕怕，不過(guò)也不用過(guò)度擔(dān)心，畢竟無(wú)線鍵鼠采用2.4GHz的短距離無(wú)線傳輸(藍(lán)牙、WiFi使用的也是2.4GHz無(wú)線技術(shù))，黑客只能在離目標(biāo)一定范圍內(nèi)進(jìn)行攻擊，比如你在家癱著他可能就要蹲在你家門(mén)口操作。另外，無(wú)線信號(hào)傳輸距離的遠(yuǎn)近取決于天線的大小和功率，如果你有大功率的天線也許能突破一兩百米的距離，但也有一定的距離限制。

　　雪碧0xroot 還告訴雷鋒網(wǎng)(公眾號(hào)：雷鋒網(wǎng))編輯，MouseJack 的這個(gè)漏洞僅存在于使用了 Nordic 北歐無(wú)線芯片并且廠商未對(duì)無(wú)線通信采用加密技術(shù)的特定鼠標(biāo)鍵盤(pán)中。而那些有足夠安全意識(shí)的廠商則通常會(huì)對(duì)無(wú)線通信進(jìn)行加密傳輸，這樣他們的無(wú)線鍵盤(pán)鼠標(biāo)就不受這個(gè)漏洞的影響。

　　而目前這 8 家上榜的公司僅有做電腦周邊產(chǎn)品的 Kensington 做出了回應(yīng)。其發(fā)言人 Denise Nelson 稱目前他們正在與 Bastille Network 合作，采取措施來(lái)彌補(bǔ)，并稱新出的無(wú)線鍵盤(pán)將對(duì)鍵盤(pán)進(jìn)行加密，但對(duì)于已發(fā)布投入使用的無(wú)線鍵盤(pán)加密情況，其表示并不了解。

如果不幸躺槍，使用的無(wú)線鍵盤(pán)正是上榜的這8家公司產(chǎn)品，那就……白了個(gè)白?

成都網(wǎng)絡(luò)營(yíng)銷(xiāo)-了解更多此方面的朋友請(qǐng)登陸：http://920576.cn/！這里有更多的驚喜等著您！