首页 最新 国内 国际 数据泄露 网络战 行业 报告 观点 预警 安全意识 人工智能 招聘 云计算 大数据 程序员 系统 专家 融资 人物 工具 安全基础设施 推广 公告 教育

罗技应用程序安全漏洞允许击键注入攻击

Google Project Zero安全团队曾向罗技发送过一条针对其旗下某应用程序的错误报告,对此并不重视的罗技三个月后才为之发布安全补丁。 

罗技应用程序安全漏洞允许击键注入攻击-E安全

在罗技应用程序Options多个版本中发现了该漏洞,Options可允许用户自定义按钮与其鼠标、键盘及触摸板的行为。 

早在九月,谷歌安全研究员塔维斯·奥曼迪(TavisOrmandy)就发现该应用程序在用户计算机上打开了WebSocket服务器。 

该服务器可支持多个侵入性命令,利用注册表项在每次系统启动时自启动,并导致身份验证系统延迟,而这正是问题所在。 

奥曼迪在错误报告中称,“唯一的‘身份验证’是你必须提供用户拥有的进程的PID【进程ID】,但你可无限猜测,以在几微秒内完成暴力破解。” 

 “这之后,你可发送命令与选项,配置Crown以发送任意击键等,”专家说道。这意味着该应用程序可作为本地与远程击键注入 (Rubber Ducky)攻击两者的完美攻击面,而这些攻击曾被用于接管个人电脑。 

奥曼迪在九月中旬向罗技报告了该问题。但罗技团队收到该错误报告后,却从未发布任何安全补丁。 

奥曼迪表示,“我在9月18日曾与罗技工程师面谈,他们向我保证称,他们理解这些问题并计划增添“原生”检查与类型检查。罗技在10月1日发布了更新,但据我所知他们并未解决任何问题。” 

鉴于该公司在90天内未解决其私下报告的问题,奥曼迪在本周二公布了调查结果。 

由于该错误报告近日在推特上引发了各安全研究人员的关注,罗技立即发布了补丁与 Options 7.00.564以解决奥曼迪所报告的问题。


E安全注:本文系E安全由国外公开媒体搜集并独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号j871798128②邮箱②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登陆E安全门户网站户网站户网站户网站www.easyaq.com ,  查看更多精彩内容。