ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Компьютерные мыши и клавиатуры с радиоинтерфейсом и USB-трансивером стоят немногим дороже обычных проводных моделей и пользуются популярностью. Но такие устройства не защищены от взлома: собрать набор для проведения атаки можно всего за 300 рублей, а вестись она может с расстояния до 1 км.

Мы протестировали безопасность устройств Logitech, A4Tech и Microsoft. В ходе тестов нам удалось перехватить данные, передаваемые клавиатурами и мышами, дешифровать трафик и осуществить ряд других атак. Обнаруженные уязвимости могут привести к утечке паролей, платежных реквизитов, персональных данных и другой важной информации.

«Стандартные» проблемы

В настоящее время отсутствует стандарт, регулирующий безопасность беспроводных устройств ввода, функционирующих на частоте 2,4 ГГЦ (не путать с Wi-Fi). А потому вопросы защиты остаются целиком на совести производителей. В некоторых моделях при подключении мышей к трансиверу (приемопередатчику) не используются ни механизмы аутентификации, ни шифрование, что позволяет выдать свое устройство за чужую мышь и перехватить управление курсором.

Клавиатуры с радиоинтерфейсом, в отличие от мышей, как правило, шифруют сигнал. Но это не всегда помогает. Во-первых, незашифрованные команды мыши можно использовать для эмуляции ввода с клавиатуры — благодаря унификации протоколов. Такой метод, получивший название MouseJack, показала компания Bastille Networks в феврале 2016 года. Во-вторых, ряд трансиверов позволяют подключать более одного устройства к одному донглу: злоумышленник может использовать удобную опцию, позволяющую не занимать лишние USB-разъемы, и добавить свою беспроводную клавиатуру к легитимно работающей мыши. Наконец, в некоторых моделях клавиатур данные передаются в открытом виде.





Сценарии атак

Прослушивание эфира. Перехват нажатий клавиш клавиатуры, которая не шифрует трафик, грозит утечкой логинов и паролей, пин-кодов карт при онлайн-оплате, личной переписки. Клавиатуры с функцией шифрования также могут быть скомпрометированы, если узнать, как работает криптография в конкретной модели.

Фальсификация отправителя. Вместо легитимного пользователя можно самим отправить команду на нажатие клавиш мыши или клавиатуры, пользуясь тем, что трансивер не сверяет полученный пакет данных с типом передающего устройства. Таким образом можно:

• открыть консоль, ввести команды удаления всего содержимого компьютера, перезагрузить компьютер и т. п.;
  
• запустить браузер, ввести адрес инфицированного сайта, перейти по инфицированной ссылке, загрузить на компьютер вирус.

Вывод из строя оборудования. Разновидность атаки MouseJack. Атака на первый взгляд относительно безобидна. Однако мышка и клавиатура могут быть установлены, например, в качестве пульта охраны или использоваться для работы с какими-нибудь критически важными системами.



Методы атаки

Перехват через NRF24. Данный метод не требует серьезных финансовых вложений и знаний в области радиосвязи. По сути, для атаки нужны аппаратная платформа Arduino, чип NRF24 и ноутбук.

В периферийных устройствах Logitech, A4Tech, Microsoft чаще всего используются чипы NRF24 c частотой 2,4 ГГц, а следовательно — для перехвата и клонирования трафика нужен трансивер с аналогичным чипом. В нашем случае был использован чип nRF24L01+ стоимостью 60 рублей в связке с микроконтроллерами Arduino или Raspberry. У nRF24L01+ существует множество клонов, которые можно купить еще дешевле (sigrok.org/wiki/Protocol_decoder:Nrf24l01). Полностью решение обойдется примерно в 300 рублей.

Перехват через SDR. В ходе прошлогоднего исследования MouseJack специалисты Bastille Networks просканировали эфир с помощью чипа NRF24. Экспертам Positive Technologies удалось воспроизвести атаки с фальсификацией устройств и осуществить прослушку как с помощью с NRF24-модуля, так и посредством SDR-трансивера. Последний метод позволяет исключить возню с проводами, программирование Arduino; все что требуется — воткнуть SDR в USB и запустить сканер. Минус в том, что устройство достаточно дорогое: например, HackRF One с доставкой в Россию стоит около 380 долларов.

Результаты наших тестов

Для наших тестов был написан универсальный программный сканер для SDR и NRF24 (github.com/chopengauer/nrf_analyze), который позволяет слушать эфир, находить и с высокой долей вероятности идентифицировать потенциально уязвимые устройства, что в свою очередь позволяет либо перехватывать данные (сниффить), либо имитировать нажатия клавиатуры и клики мышкой, то есть подменять вводимые данные (спуфить).

Атакующий может находиться, скажем, в машине около бизнес-центра или во дворе многоквартирного дома. Дистанция прослушивания трафика может достигать 100 метров, а при использовании направленных антенн и усилителей еще увеличивается. Если цель заключается в подмене данных и выполнении атаки MouseJack, то радиус нападения увеличивается до 0,5−1 км.

В наших тестах были достигнуты следующие результаты:

• Microsoft (клавиатура и мышь) — получилось прослушивать и эмулировать, подменять и отправлять команды, а также осуществить атаку MouseJack;
  
• A4Tech (мышь) — удалось подменять мышь и переходить на сайты;
  
• Logitech (клавиатура и мышь) — удалось вывести их из строя.

Как обезопасить себя

У большинства USB-трансиверов нельзя обновить прошивку, поэтому устранить уязвимости невозможно. Является ли ваше устройство уязвимым, можно проверить на сайте mousejack.com. Если для некоторых устройств не опубликованы методы взлома, это не значит, что их нет.

Главный совет — не использовать беспроводные клавиатуры и мыши для ввода конфиденциальных данных (важных паролей, логинов, данных карт). Особенно это касается общественных мест.

Авторы: Артур Гарипов, Павел Новиков

Дата: 7 апреля 2017

Источник: https://habrahabr.ru/company/pt/blog/325932/