引言:在昨天的文章《無線鍵鼠監聽與劫持》中,我們提到今天會向您介紹一個無線鍵鼠的監聽與劫持的經典案例,《MouseJack》:MouseJack能利用無線鼠標和鍵盤存在的一些問題,達到僞裝成鍵盤並實現任意按鍵的效果。
關於無線鍵鼠的監聽與劫持有兩個比較有參考價值的案例。其中之一就是MouseJack,它能利用無線鼠標和鍵盤存在的一些問題,達到僞裝成鍵盤並實現任意按鍵的效果。造成的危害是可以僞裝鍵盤輸入任意命令控制計算機,甚至通過命令腳本下載病毒或者木馬進行進一步的攻擊。
MouseJack 蒐集了無線鼠標鍵盤的一些安全問題。受影響的廠商多達七家,這些安全問題使黑客能在100 米遠的距離輸入任意指令到受害者的計算機,而使用的工具只是價值15 美元的特殊USB 適配器。下爲USB 適配器叫作Crazyradio PA。 
Crazyradio PA 是一款基於nRF24LE1 的開源硬件。它帶有運放芯片,具備信號放大的功能,更高的接收靈敏度,而且使用的天線不是上文nRF24L01+模塊中的板載天線,而是外置SMA 接口天線。配備外置天線會大大提升收發效果。這些改進讓它的收發距離達到了空曠距離100 米,而不是常見無線鍵鼠的10 米左右。MouseJack 修改了Crazyradio PA 的固件,使它能夠支持嗅探數據包並且能夠通過Python 實現注入功能。
當鍵盤或者鼠標做出一定的動作後,這些信號就會轉化成無線傳輸的數據包給電腦端的適配器。電腦端的適配器接收到鼠標或者鍵盤發送的數據包後,就能知道鍵盤或者鼠標相應的動作。爲了防止被偷聽,大多數廠商都會對無線鍵盤的通信數據進行加密。電腦端的適配器是知道密鑰的,所以它能正確解碼出哪些鍵盤按下了。如果不知道密鑰,黑客就無法解碼這些數據,所以他們就沒辦法知道哪些按鍵按下了。下圖爲用戶使用無線鍵盤,當按下字母A 時,這一數據在發送之前就被加密了,適配器接收到後對其解密得到正確的按鍵值。 
一般來說,鼠標傳輸的數據都是沒有經過加密的。這意味着鼠標和適配器直接的通信沒有任何證明機制,適配器沒辦法分辨出哪些數據包是鼠標發送的,哪些是黑客僞造的。所以黑客可以僞造一個鼠標,傳送他希望的動作給適配器。下圖爲用戶在單擊鼠標左鍵後,通過無線方式傳送到電腦端的適配器。 
這個過程中的主要問題是,適配器對接收到的數據包的處理機制使黑客能傳送精心僞造的數據包產生按鍵動作。下圖爲黑客可以利用Crazyradio PA 之類的工具,產生僞造的左擊的數據包。用戶的適配器在接收到這樣的數據包後告訴計算機產生左擊的動作。 
目前,絕大多數受影響的芯片都是來自Nordic 半導體公司生產的nRF24L 系列的收發器。nRF24L 系列的收發器只提供了兩個器件之間收發的機制,而具體發送哪些數據代表鼠標點擊或者按鍵按下都是由各個品牌的廠商決定的。目前發現的問題大致可以歸納爲以下三類。
1.欺騙鼠標,按鍵注入
當處理接收到的無線數據包後,一些適配器並不驗證數據包的類型是不是該類型的器件發射出的。在正常情況下,鼠標只發送移動和敲擊的數據給適配器,鍵盤只發送按鍵情況。如果適配器不驗證數據包的類型和發送的器件類型是否匹配,就可能讓黑客有機可乘。黑客使用的是一個僞裝的鼠標,但實際上發送給適配器的卻是鍵盤的按鍵數據包,適配器並沒有預料到來自鼠標的數據包其實是被加密過的按鍵數據包,它會接收這些包含按鍵信息的數據包,並按照數據包內容實施按鍵操作,使得黑客可以向受害者的計算機發送任意指令。
2.欺騙鍵盤,按鍵注入
大多數測試的鍵盤都在無線傳輸數據到適配器前對數據進行了加密處理,但並不是所有適配器都只接收加密的數據,它們也接收未加密的數據。這使得黑客可以使用一個僞裝的鍵盤,發送未加密的數據包給適配器。這樣就繞過了鍵盤的加密措施,使得黑客可以通過鍵盤向受害者的電腦發送任意指令。
3.強制配對
無線鍵盤或者鼠標出廠時,都是和適配器配對了的。這意味着鍵盤或者鼠標已經保存了適配器的無線地址。如果一個無線鍵盤或者鼠標沒有存儲適配器的地址,就需要將它們與適配器進行配對。假設用戶的無線鍵盤或者鼠標壞了,或者無線適配器丟了,用戶不需要再次購買全套的無線鍵盤或鼠標,只需購買新的鍵盤鼠標或者適配器就可以。
爲了防止未授權的設備與適配器配對,適配器需要在配對模式的30~60s 內接受新的設備。這使得黑客可以通過配對模式與新的設備配對而不需要用戶介入。用戶只有一個鼠標,但當它在連接配對的時候,黑客就能用僞造的鍵盤與適配器配對,最終達到向用戶計算機發送任意指令的目的。
如果單純地監聽或者控制無線鼠標是沒有太大意義的。因爲鼠標自身能做的事情太有限了,無非是移動、左擊或者右擊。在完全不知道用戶操作界面的情況下,這些操作幾乎毫無意義。移動也不知道移動到了什麼位置,點擊也不知道效果具體怎麼樣。所以單純地對無線鼠標的監聽或者控制而沒有實際意義。
所以MouseJack 官方的那個Show,也僅僅只是一個Show!
警告:非法竊取他人信息是違法行爲,本節內容僅供學習參考!切勿犯錯!
本文選自《硬件安全攻防大揭祕》,點此鏈接可在博文視點官網查看。
想及時獲得更多精彩文章,可在微信中搜索“博文視點”或者掃描下方二維碼並關注。
