中國國家安全部於 3 月 16 日發出安全提示,指出無線鍵盤及滑鼠存在三項漏洞,一旦被不法分子利用,可將接收器改裝成「硬件木馬」,在用家毫不知情情況下竊取電腦資料。
國家安全部點名三項風險分別是訊號裸傳、惡意裝置潛伏接入,以及休眠重連漏洞。
市面上部分無線鍵盤及滑鼠為壓低成本,採用未加密傳輸協議,令鍵盤按鍵輸入及滑鼠操作等資訊,以明文形式透過無線電波傳播。不法分子只需一台普通 USB 射頻接收器,即可在約 10 米範圍內捕獲並還原相關訊號,取得用家輸入內容及操作軌跡。事實上,早在 2016 年,安全公司 Bastille 已發現名為 MouseJack 漏洞,影響全球數十億部使用 USB 接收器的非藍牙無線滑鼠及鍵盤,涉及 Logitech、Microsoft、Dell、Lenovo、HP 等主要品牌,攻擊者更可在最遠 100 米(約 328 呎)外發動攻擊。
不法分子可將無線產品 USB 接收器改裝成「硬件木馬」,一旦插入電腦 USB 端子,便可偽裝成合法外接裝置騙過系統認證,在背景靜默執行惡意程式碼,為不法分子開啟遙距控制與資料竊取的後門。Bastille 研究員指出,發動 MouseJack 攻擊只需約 15 美元(約港幣 HK$117)硬件及數行程式碼,幾乎任何人都可能成為受害者。
大多數無線滑鼠在長時間無操作後會自動進入休眠模式。裝置從休眠狀態喚醒、重新與接收器建立連接過程中存在安全隱患,不法分子可趁機偽造合法配對訊號,誘使無線鍵盤或滑鼠與其竊密裝置配對,達到隔空索取資料的目的。
針對上述漏洞,國家安全部提出四個防範建議:
1. 選用加密產品:優先選購具備高階加密技術(如 AES-128 加密)無線鍵盤及滑鼠,使用原廠接收器配對,並避免使用來源不明或非正規渠道購買無線產品。
2. 手動關閉電源:離開工作崗位時應手動關閉無線產品電源或拔除 USB 接收器,防止裝置在休眠期間被入侵。
3. 定期清理藍牙清單:定期刪除已閒置或陌生裝置,並在非配對狀態下關閉藍牙功能。
4. 回歸有線產品:在處理敏感資料辦公環境中,改用有線鍵盤及滑鼠,從物理層面阻隔訊號被截獲風險。
資料來源:快科技