Abo
  • IT-Karriere:

Sicherheitslücke: Funktastatur nimmt Befehle von Angreifern entgegen

Die Verschlüsselung der kabellosen Fujitsu-Tastatur LX901 lässt sich von Angreifern auf gleich zwei Arten umgehen - und für Angriffe aus der Distanz nutzen.

Artikel veröffentlicht am ,
Angreifer können Tastatureingaben senden, ohne eine Taste zu drücken.
Angreifer können Tastatureingaben senden, ohne eine Taste zu drücken. (Bild: Paul Zoetemeijer/Unsplash)

Mit einer Sicherheitslücke in einer kabellosen Tastatur von Fujitsu können Angreifer Computer übernehmen, ohne eine Taste berühren zu müssen. Die Maus- und Tastatureingaben werden zwar verschlüsselt übertragen, diese lässt sich jedoch leicht umgehen. Angreifer können per Funk Befehle an den USB-Empfänger senden, die der betroffene Computer wie normale Tastatureingaben interpretiert.

Stellenmarkt
  1. Orsted Wind Power Germany GmbH, Norddeich
  2. Pfennigparade SIGMETA GmbH, München

Ein Schutz ist nicht in Sicht - Besitzer des kabellosen Maus- und Tastatursets LX901 sollten diese austauschen. Entdeckt wurde die Sicherheitslücke von der Penetration-Testing-Firma Syss. Zuerst hatte das Onlinemagazin Arstechnica berichtet.

Die Tastatureingaben überträgt Fujitsu über ein proprietäres Funkprotokoll mit einer 128-Bit-AES-Verschlüsselung (Advanced Encryption Standard). Der USB-Dongle-Empfänger nimmt allerdings auch unverschlüsselte Eingaben entgegen, solange sie in dem richtigen Format geschickt werden. Auf diese Weise können Angreifer Tastaturangaben innerhalb der Funkreichweite des USB-Empfängers an einen Computer senden. Diese beträgt üblicherweise zehn Meter, kann jedoch über spezielle Antennen erweitert werden. Über die Tastatureingaben lassen sich beispielsweise Kommandozeilenbefehle ausführen und Schadcode übertragen.

Benutzereingaben lassen sich mitschneiden

Der USB-Empfänger nimmt jedoch nicht nur unverschlüsselte Befehle entgegen, sondern ist zudem anfällig für eine Replay-Attacke. Bei diesem Angriff werden die per Funk übertragenen Eingaben von einem Angreifer mitgeschnitten und anschließend wieder abgespielt. Auf diese Weise lassen sich beispielsweise die Tastatureingaben beim Computerlogin mitschneiden. Ein Angreifer kann den Mitschnitt zu einem späteren Zeitpunkt an das USB-Dongle senden und sich auf diese Weise in den Computer einloggen.



Anzeige
Top-Angebote
  1. 79,00€
  2. 59,99€
  3. ab 17,99€
  4. 799,90€

Javan 19. Mär 2019 / Themenstart

Die Produktseite der LX901 auf Fujitsu dot com ist nur noch im Googlecache zu finden.

M.P. 18. Mär 2019 / Themenstart

Die Cherry-Tastatur, auf der ich tippe, hat ein Kabel, und ich habe sie schon viermal bei...

Kommentieren


Folgen Sie uns
       


B-all One für Magic Leap - Gameplay

Ein Squash-Spiel zeigt, wie gut bei Magic Leap das Mapping der Umgebung und das Tracking unserer Position klappt.

B-all One für Magic Leap - Gameplay Video aufrufen
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck

  1. Urheberrecht Axel-Springer-Verlag klagt erneut gegen Adblocker
  2. Whitelisting erlaubt Kartellamt hält Adblocker-Nutzung für "nachvollziehbar"
  3. Firefox Klar Mozilla testet offenbar Adblocker

Swobbee: Der Wechselakku kommt wieder
Swobbee
Der Wechselakku kommt wieder

Mieten statt kaufen, wechseln statt laden: Das Berliner Startup Swobbee baut eine Infrastruktur mit Lade- und Tauschstationen für Akkus auf. Ein ähnliches Geschäftsmodell ist schon einmal gescheitert. Dieses kann jedoch aufgehen.
Eine Analyse von Werner Pluta

  1. Elektromobilität Seoul will Zweirad-Kraftfahrzeuge und Minibusse austauschen
  2. Rechtsanspruch auf Wallboxen Wohnungswirtschaft warnt vor "Schnellschuss" bei WEG-Reform
  3. Innolith Energy Battery Schweizer Unternehmen entwickelt sehr leistungsfähigen Akku

Passwort-Richtlinien: Schlechte Passwörter vermeiden
Passwort-Richtlinien
Schlechte Passwörter vermeiden

Groß- und Kleinbuchstaben, mindestens ein Sonderzeichen, aber nicht irgendeins? Viele Passwort-Richtlinien führen dazu, dass Nutzer genervt oder verwirrt sind, aber nicht unbedingt zu sichereren Passwörtern. Wir geben Tipps, wie Entwickler es besser machen können.
Von Hanno Böck

  1. Acutherm Mit Wärmebildkamera und Mikrofon das Passwort erraten
  2. Datenschutz Facebook speicherte Millionen Passwörter im Klartext
  3. Fido-Sticks im Test Endlich schlechte Passwörter

    •  /