经典案例之MouseJack
引言:在昨天的文章《无线键鼠监听与劫持》中,我们提到今天会向您介绍一个无线键鼠的监听与劫持的经典案例,《MouseJack》:MouseJack能利用无线鼠标和键盘存在的一些问题,达到伪装成键盘并实现任意按键的效果。
关于无线键鼠的监听与劫持有两个比较有参考价值的案例。其中之一就是MouseJack,它能利用无线鼠标和键盘存在的一些问题,达到伪装成键盘并实现任意按键的效果。造成的危害是可以伪装键盘输入任意命令控制计算机,甚至通过命令脚本下载病毒或者木马进行进一步的攻击。
MouseJack 搜集了无线鼠标键盘的一些安全问题。受影响的厂商多达七家,这些安全问题使黑客能在100 米远的距离输入任意指令到受害者的计算机,而使用的工具只是价值15 美元的特殊USB 适配器。下为USB 适配器叫作Crazyradio PA。
Crazyradio PA 是一款基于nRF24LE1 的开源硬件。它带有运放芯片,具备信号放大的功能,更高的接收灵敏度,而且使用的天线不是上文nRF24L01+模块中的板载天线,而是外置SMA 接口天线。配备外置天线会大大提升收发效果。这些改进让它的收发距离达到了空旷距离100 米,而不是常见无线键鼠的10 米左右。MouseJack 修改了Crazyradio PA 的固件,使它能够支持嗅探数据包并且能够通过Python 实现注入功能。
当键盘或者鼠标做出一定的动作后,这些信号就会转化成无线传输的数据包给电脑端的适配器。电脑端的适配器接收到鼠标或者键盘发送的数据包后,就能知道键盘或者鼠标相应的动作。为了防止被偷听,大多数厂商都会对无线键盘的通信数据进行加密。电脑端的适配器是知道密钥的,所以它能正确解码出哪些键盘按下了。如果不知道密钥,黑客就无法解码这些数据,所以他们就没办法知道哪些按键按下了。下图为用户使用无线键盘,当按下字母A 时,这一数据在发送之前就被加密了,适配器接收到后对其解密得到正确的按键值。
一般来说,鼠标传输的数据都是没有经过加密的。这意味着鼠标和适配器直接的通信没有任何证明机制,适配器没办法分辨出哪些数据包是鼠标发送的,哪些是黑客伪造的。所以黑客可以伪造一个鼠标,传送他希望的动作给适配器。下图为用户在单击鼠标左键后,通过无线方式传送到电脑端的适配器。
这个过程中的主要问题是,适配器对接收到的数据包的处理机制使黑客能传送精心伪造的数据包产生按键动作。下图为黑客可以利用Crazyradio PA 之类的工具,产生伪造的左击的数据包。用户的适配器在接收到这样的数据包后告诉计算机产生左击的动作。
目前,绝大多数受影响的芯片都是来自Nordic 半导体公司生产的nRF24L 系列的收发器。nRF24L 系列的收发器只提供了两个器件之间收发的机制,而具体发送哪些数据代表鼠标点击或者按键按下都是由各个品牌的厂商决定的。目前发现的问题大致可以归纳为以下三类。
1.欺骗鼠标,按键注入
当处理接收到的无线数据包后,一些适配器并不验证数据包的类型是不是该类型的器件发射出的。在正常情况下,鼠标只发送移动和敲击的数据给适配器,键盘只发送按键情况。如果适配器不验证数据包的类型和发送的器件类型是否匹配,就可能让黑客有机可乘。黑客使用的是一个伪装的鼠标,但实际上发送给适配器的却是键盘的按键数据包,适配器并没有预料到来自鼠标的数据包其实是被加密过的按键数据包,它会接收这些包含按键信息的数据包,并按照数据包内容实施按键操作,使得黑客可以向受害者的计算机发送任意指令。
2.欺骗键盘,按键注入
大多数测试的键盘都在无线传输数据到适配器前对数据进行了加密处理,但并不是所有适配器都只接收加密的数据,它们也接收未加密的数据。这使得黑客可以使用一个伪装的键盘,发送未加密的数据包给适配器。这样就绕过了键盘的加密措施,使得黑客可以通过键盘向受害者的电脑发送任意指令。
3.强制配对
无线键盘或者鼠标出厂时,都是和适配器配对了的。这意味着键盘或者鼠标已经保存了适配器的无线地址。如果一个无线键盘或者鼠标没有存储适配器的地址,就需要将它们与适配器进行配对。假设用户的无线键盘或者鼠标坏了,或者无线适配器丢了,用户不需要再次购买全套的无线键盘或鼠标,只需购买新的键盘鼠标或者适配器就可以。
为了防止未授权的设备与适配器配对,适配器需要在配对模式的30~60s 内接受新的设备。这使得黑客可以通过配对模式与新的设备配对而不需要用户介入。用户只有一个鼠标,但当它在连接配对的时候,黑客就能用伪造的键盘与适配器配对,最终达到向用户计算机发送任意指令的目的。
如果单纯地监听或者控制无线鼠标是没有太大意义的。因为鼠标自身能做的事情太有限了,无非是移动、左击或者右击。在完全不知道用户操作界面的情况下,这些操作几乎毫无意义。移动也不知道移动到了什么位置,点击也不知道效果具体怎么样。所以单纯地对无线鼠标的监听或者控制而没有实际意义。
所以MouseJack 官方的那个Show,也仅仅只是一个Show!
警告:非法窃取他人信息是违法行为,本节内容仅供学习参考!切勿犯错!
本文选自《硬件安全攻防大揭秘》,点此链接可在博文视点官网查看。
想及时获得更多精彩文章,可在微信中搜索“博文视点”或者扫描下方二维码并关注。
经典案例之MouseJack的更多相关文章
- javascript的理解及经典案例
js的简介: JavaScript是一种能让你的网页更加生动活泼的程式语言,也是目前网页中设计中最容易学又最方便的语言. 你可以利用JavaScript轻易的做出亲切的欢迎讯息.漂亮的数字钟.有广告效 ...
- jQuery基础的工厂函数以及定时器的经典案例
1. jQuery的基本信息: 1.1 定义: jQuery是JavaScript的程序库之一,它是JavaScript对象和实用函数的封装, 1.2 作用: 许多使用JavaScript能实现的交 ...
- Linux运维之道(大量经典案例、问题分析,运维案头书,红帽推荐)
Linux运维之道(大量经典案例.问题分析,运维案头书,红帽推荐) 丁明一 编 ISBN 978-7-121-21877-4 2014年1月出版 定价:69.00元 448页 16开 编辑推荐 1 ...
- 经典案例:那些让人赞不绝口的创新 HTML5 网站
在过去的10年里,网页设计师使用 Flash.JavaScript 或其他复杂的软件和技术来创建网站.但现在你可以前所未有的快速.轻松地设计或创造互动的.有趣好看的网站.如何创建?答案是 HTML5 ...
- Altera OpenCL用于计算机领域的13个经典案例(转)
英文出自:Streamcomputing 转自:http://www.csdn.net/article/2013-10-29/2817319-the-application-areas-opencl- ...
- php中foreach()函数与Array数组经典案例讲解
//php中foreach()函数与Array数组经典案例讲解 function getVal($v) { return $v; //可以加任意检查代码,列入要求$v必须是数字,或过滤非法字符串等.} ...
- 阿里云资深DBA专家罗龙九:云数据库十大经典案例分析【转载】
阿里云资深DBA专家罗龙九:云数据库十大经典案例分析 2016-07-21 06:33 本文已获阿里云授权发布,转载具体要求见文末 摘要:本文根据阿里云资深DBA专家罗龙九在首届阿里巴巴在线峰会的&l ...
- HTML5 CSS3 经典案例:无插件拖拽上传图片 (支持预览与批量) (二)
转载请标明出处:http://blog.csdn.net/lmj623565791/article/details/31513065 上一篇已经实现了这个项目的整体的HTML和CSS: HTML5 C ...
- Wolsey“强整数规划模型”经典案例之一单源固定费用网络流问题
Wolsey“强整数规划模型”经典案例之一单源固定费用网络流问题 阅读本文可以理解什么是“强”整数规划模型. 单源固定费用网络流问题见文献[1]第13.4.1节(p229-231),是"强整 ...
随机推荐
- python 字符串操作方法详解
字符串序列用于表示和存储文本,python中字符串是不可变对象.字符串是一个有序的字符的集合,用于存储和表示基本的文本信息,一对单,双或三引号中间包含的内容称之为字符串.其中三引号可以由多行组成,编写 ...
- @RequestMapping注解
Spring MVC中用于参数绑定的注解有很多,都在org.springframework.web.bind.annotation包中,根据它们处理的request的不同内容部分可以分为四类(主要讲解 ...
- phantomjs集成到scrapy中,并禁用图片,切换UA
phantomjs是一个没有界面的浏览器,支持各种web标准,提供DOM 处理, CSS 选择器, JSON, Canvas, 和 SVG,对于爬取一些经过js渲染的页面非常有用.但是phantomj ...
- 4.ES核心慨念
一. 和lucene的关系 lucene是最先进,功能最强大的搜索库.但是使用复杂(要深入理解其中原理. elasticsearch,基于lucene,隐藏复杂性,提供简单易用的restful api ...
- 什么是SSL
什么是SSL 简单来说,在我们使用的浏览器中都默认信任着全世界多个最权威的CA机构(证书颁发机构),如下图: 上图中,受信任的根证书颁发机构列表里的都是我们浏览器中默认信任的CA机构,我们只需要向他们 ...
- notify丢失、虚假唤醒
notify丢失: 假设线程A因为某种条件在条件队列中等待,同时线程B因为另外一种条件在同一个条件队列中等待,也就是说线程A/B都被同一个Object.wait()挂起,但是等待的条件不同. 现在假设 ...
- RandomAccess接口的使用
RandomAccess在类Collections的shuffle()方法中的使用:(jdk源码如下) /** * Randomly permute the specified list using ...
- POJ2891 Strange Way to Express Integers [中国剩余定理]
不互质情况的模板题 注意多组数据不要一发现不合法就退出 #include <iostream> #include <cstdio> #include <cstring&g ...
- vue2.0之render函数
虽然vue推荐用template来创建你的html,但是在某些时候你也会用到render函数. 虚拟DOM Vue 通过建立一个虚拟 DOM 对真实 DOM 发生的变化保持追踪.请近距离看一下这行代码 ...
- SDN第一次上机作业
作业链接 用字符命令生成拓扑,并测试连通性,截图 sudo mn --topo tree,fanout=3,depth=2 用可视化界面生成拓扑,并测试连通性,截图 用Python脚本生成一个Fat- ...