MouseJack:利用15美元的工具和15行代码控制无线鼠标和键盘

Bastille的研究团队发现了一种针对蓝牙键盘鼠标的攻击,攻击者可以利用漏洞控制你的电脑操作。研究团队将此攻击命名为MouseJack。

七大厂商皆中招

软件工程师马克纽林说:“利用假冒的无线电脑鼠标和键盘可以从100米的距离利用便携式外围设备入侵笔记本电脑,这些设备来自至少七家大厂商,包括罗技、微软、亚马逊”。

相对于通常被加密的键盘无线链路来说,攻击目标通常为明文和非蓝牙端口和鼠标之间的安全通信。

纽林,Bastille的安全装备机构,发现了针对13种鼠标和键盘的攻击并向各厂商报告了漏洞,其中有些厂商已经发布了补丁。

攻击者部署了漏洞代码并且将信息上传到GitHub ,所有未打补丁的设备的用户现在面临被攻击的风险。

(伪造未加密键盘包)

虽然应该指出的是,黑客必须有足够的动机去到受害者附近实施攻击,但是对于那些不能更新设备的人,唯一的选择只有更换硬件。

攻击原理

纽林说,糟糕的是“…没有身份验证机制,而且适配器无法识别用数据包是由鼠标发送的还是由攻击者发送的”。

“因此,攻击者可以伪装成一个鼠标发送自己的数据或者点击数据包以欺骗适配器。”

“在适配器接收数据包的过程中遇到的问题,使攻击者有可能发送特制的数据包产生按键代替鼠标移动和点击”。

MouseJacker的攻击流程图

北欧半导体制造的nrf24l收发器系列是用来干扰设备使用的。纽林认识到了这一点,使用现有的一个古老的任天堂游戏控制器内的nrf24l收发器制作了一个伪造的鼠标。

下面是制作过程:

nrf24l芯片不支持数据包嗅探,但在2011年Travis Goodspeed记录伪混杂模式可以嗅出被其他设备发送的数据包的一个子集。这使NES控制器不需要SDR就能识别无线鼠标和键盘。NES控制器是学习鼠标通信协议行为的一个很好的平台。相对于被动收集数据,NES控制器会把d-pad方向箭转换为鼠标移动的数据包,并将A/B按钮转换为鼠标的左、右键。为了实现流畅的用户体验,要对数据包的timing和特定行为建立模型。

另一个带有用来数据包嗅探的几行Python代码和注入编织成一个放大的具有模糊能力的USB crazyradio适配器建立了。

纽林说漏洞包括按键注射,鼠标、键盘欺骗和强制配对。

联想的N700和Ultraslim鼠标和键盘也受到DoS漏洞攻击的影响。

观看视频

*参考来源:github,theregister

 
本文转自 K1two2 博客园博客,原文链接:http://www.cnblogs.com/k1two2/p/5221497.html  ,如需转载请自行联系原作者

MouseJack:利用15美元的工具和15行代码控制无线鼠标和键盘相关推荐

  1. python利器怎么编程-Python实现翻译小工具!几行代码搞定!装逼利器有没有!

    一.背景 利用Requests模块获取有道词典web页面的post信息,BeautifulSoup来获取需要的内容,通过tkinter模块生成gui界面 二.代码 进群:548377875    即可 ...

  2. python编程人脸识别工具_几行代码带你实现人脸识别。Python 就是这么简单

    本文的文字及图片来源于网络,仅供学习.交流使用,不具有任何商业用途,版权归原作者所有,如有问题请及时联系我们以作处理 以下文章来源于腾讯云 作者:Python编程与实战 阅读文本大概需要 11分钟. ...

  3. Android小说爬虫工具,几行代码实现小说阅读下载

    使用简单的几行代码,打造你自己的小说开源软件,已解析10+个小说网站,支持并发搜索下载,下载速度可达5m/s. GitHub 为了测试顺手实现的渣客户端,轻松就能实现搜索,收藏,追更,下载等功能,目前 ...

  4. 独家 | 为DALL·E 2花了15美元创作这幅AI图像以后,我学到了……

    作者:Joy Zhang 翻译:陈超 校对:赵茹萱本文约3000字,建议阅读8分钟 本文介绍了作者使用DALL·E 2生成了美洲驼灌篮的逼真版图片的过程. 是的,这是一只美洲驼灌篮.一份对DALL·E ...

  5. 15个借助AI,ChatGPT自动写代码工具

    整理了15个借助AI和ChatGPT辅助我们自动写代码的工具,整理到 15个借助AI,ChatGPT自动写代码工具http://www.webhub123.com/#/home/detail?proj ...

  6. 安卓 / 鸿蒙手机的指纹可被暴力破解:只需 15 美元设备,腾讯和浙江大学新发现

    5 月 23 日消息,腾讯安全玄武实验室和浙江大学的研究人员提出了一种名为"BrutePrint"的新攻击,该攻击可通过暴力破解安卓智能手机上的指纹,来绕过用户身份验证并控制设备. ...

  7. java excel 插件开发工具_程序员常用的15 种开发者工具推荐

    程序员常用的15 种开发者工具推荐:Java 线上诊断工具 Arthas.IDE 插件 Cloud Toolkit.混沌实验注入工具 ChaosBlade.Java 代码规约扫描插件.应用实时监控工具 ...

  8. 阿里程序员常用的 15 个高效工具,大部分已开源!

    阿里程序员常用的 15 个高效工具,大部分已开源! 阿里将自身在各类业务场景下的技术积淀,通过开源.云上实现或工具等形式对外开放,本文将精选了一些阿里巴巴的开发者工具,希望能帮助开发者们提高开发效率. ...

  9. 腾讯音乐路演PPT曝光:发行区间13至15美元 下周上市

    雷帝网 雷建平 12月7日报道 腾讯音乐日前更新招股书.招股书显示,腾讯音乐发行区间定为13美元至15美元,拟发行ADS股份8200万股,募集10.66亿美元至12.3亿美元. 腾讯音乐预计12月11 ...

最新文章

  1. 人工智能即将冲击与改变现有的医疗方式
  2. 使用批处理复制并以时间规则重命名文件
  3. python string.format()_Python string.format()百分比,不取整
  4. 使用LinkedList模拟一个堆栈或者队列数据结构
  5. Linux(RadHat)基础学习—FTP服务
  6. xcode8 快捷键失效
  7. 微信快速开发框架(二) -- 快速开发微信公众平台框架---简介
  8. 微信小程序数据拼接_微信小程序使用原生WebSokcet实现断线重连及数据拼接
  9. 人像处理:不要用减淡工具了!用柔光叠加去擦!加深也不如正片叠底
  10. cad导出pdf_CAD手机看图软件中怎么将CAD图纸转为PDF/图片格式?
  11. python爬取微博评论数据_Python爬虫之微博评论爬取!
  12. windows 通过快捷键来复制粘贴当前日期时间到剪贴板
  13. 信息安全 SEED Lab10 Packet Sniffing and Spoofing Lab
  14. 怎样卸载腾讯网页游戏微端服务器,如何删除腾讯页游微端启动器
  15. java实现正态分布累积分布_标准正态分布变量的累积概率分布函数
  16. 关于微信小程序如何刷新当前页面
  17. base64图片转成文件流再转成链接 vue js
  18. 开源 cocos2d-html5版 五彩连珠.
  19. OAuth2 and OpenId 协议学习记录一
  20. PCB设计软件之二:Mentor PADS Pro VX2.10版本安装使用

热门文章

  1. 前端--使用webstorm创建一个vue项目
  2. october cms-官方文档-ajax
  3. 高性能Web应用程序–数据URI
  4. (linux-x86-ARM)麒麟V10安装DBeaver21.3通用的数据库管理工具和 SQL 客户端
  5. 一个50岁大叔学编程的真实故事——任何时候学习都不晚
  6. 住院病人主要由护士护理,这不仅需要大量的护士,而且不能随时观察危重病病情,会延误抢救时机以计算机为中心的患者监护系统,写出系统的可行性。并可以系统印出某个指定病人的病情报告。...
  7. GET和POST两种基本请求方法的区别 1
  8. 移动App模块化设计
  9. fmri优缺点_题集|03 EEG、fMRI、PET等的优缺点;经典条件作用的形成及其规律;中介变量和调节变量及其区别;动机与行为效率的关系...
  10. 网络创业者莱恩-福克斯:最后一分钟的奇迹