Hirdetés

Segítség, lehallgat a töltőfej!

Akár két-háromezer forint is elég lehet ahhoz, hogy házilag is elkészüljenek az első, telefon töltőjébe épített keyloggerek. Samy Kamkar, adatbiztonsággal és általános biztonságtechnikával foglalkozó kutató, bemutatott egy olyan apró eszközt, amely képes a Microsoft vezeték nélküli billentyűzeteinek leütéseit rögzíteni, vagy akár élőben, egy webes felületen meg is jeleníteni.

Külsőre nem látszik
Külsőre nem látszik (forrás: KeySweeper - samy.pl)

A KeySweeper névre keresztelt, amúgy működő töltőfejbe épített lehallgató-készülék Arduino alapra épült, van benne egy n-es Wi-Fi modul, opcionális az SPI Flash chip az adatok tárolására, de igény szerint belefér még akár egy FONA is, ami pedig 2G-s mobilkapcsolatot tud biztosítani, hogy akár sms-ben is érkezhessenek a lefülelt leütések.

Hirdetés

A fentieken túl még két fontos összetevőt kell megemlíteni: van egy USB csatlakozó, ami áramot is kap, hogy akár USB-s eszközök töltésére alkalmassá váljon a töltő. Ez tényleg fontos, hiszen a nem működő töltőt rövid úton kukázzák, viszont pont emiatt nem is tűnik fel, ha nem pont ugyanolyan.

A másik pedig egy apró akkumulátor, aminek a segítségével akkor is képes gyűjteni és továbbítani a billentyűleütéseket, ha éppen nincs áram alatt. Amikor pedig újra az aljzathoz ér, a telefonnal együtt feltölti a saját telepét is.

Az igazán félelmetes, hogy számos sebezhetőséget kihasználva a Microsoft legtöbb (ha nem az összes) vezeték nélküli billentyűzetét képes előzetes felderítés nélkül, egy jellemző MAC-address tulajdonság alapján azonosítani és figyelni. Az MS billentyűzeteinek MAC címében az első bájt azonos. Mindezt 2-20 ezer forint közötti összegből, ahol a magasabb ár mellett már önálló mobilkapcsolattal és akkumulátorral rendelkező töltőfejről beszélünk.


(forrás: KeySweeper - samy.pl) [+]

A szoftver is profi, az elsődleges kód magán a mikrokontrolleren fut, de van webes adminisztráció jQuery és PHP alapokon, ezzel távolról, élőben követhető, milyen gombokat nyomkod a Microsoft vezeték nélküli billentyűzetén az áldozat. A forráskód és a dokumentáció a GitHubról elérhető. A termék nem kerül forgalomba, az akcióval demonstrálni akart a készítő.

Kamkar a VentureBeat-nek nyilatkozva azt mondta, őszintén reméli, ez a projekt több lesz annál, mint egy „hogyan legyünk kémek” útmutató, „remélem, ez elegendő nyomást biztosít majd, hogy kiharcoljuk a megfelelő titkosítást a vezeték nélküli eszközökben, amelyek körülvesznek”. A Microsoft bejelentette, hogy figyelemmel kísérik a bejelentéseket, komolyan veszik az ilyen ügyeket és a KeySweeper kapcsán is vizsgálatot indítottak.

Hirdetés

Előzmények

  • USB? Az ellen nem véd semmi!

    Mutatunk egy olyan hekkelést, amivel bármilyen USB csatlakozóval ellátott számítógépet vagy kézi készüléket egy perc alatt fel lehet törni.