黑客

伪装成手机充电器的监控装置 KeySweeper:捕捉你在键盘上输入的每一个字

下一篇文章

Cleanify 获 500 Startups 投资,欲成为清洁服务领域的 Expedia

“墙上的手机充电器是谁的?哦,一定是 Ben 的。他总是让充电器一直插在插座上。”

但事实上,它不是 Ben 的充电器,或者说根本就不是充电器。它其实是一个被伪装成手机充电器的微型监控装置,可以追踪你在无线键盘上输入的每一个字。这款装置还能将追踪的内容直接传输到窃听者的手机上。如果你不将它从插座上拔下来,它会持续工作,而且还假装关闭了。

这款小型设备是由萨米·卡姆卡(Samy Kamkar)开发的,他还将其称为“KeySweeper”。在此之前,萨米还开发了曾在 MySpace 社交网络上广泛传播的 蠕虫病毒 ,几周前还打造了一款不需要用手的 “黑客项链”

在你感到害怕,将键盘扔进垃圾桶之前,先来听一听下面这个好消息:这款专用设备仅仅会对某些无线键盘带来影响。最主要的是微软品牌的无线键盘。我们仍在努力挖掘更详细的名单,但就目前而言,使用“微软无线键盘”的人应该小心了。

微软在一份声明中称,KeySweeper 仅仅会影响在 2011 年 7 月份之前上市的微软 2.4Ghz 键盘(非蓝牙)。(更新:本文最下方是萨米给我发来的信息,能让大家对 KeySweeper 的影响有更深入了解)。即便它“仅仅”影响更旧的键盘,但请记住:在游戏玩家以外的群体,大多数人并不经常更换键盘。

以下即是 KeySweeper 具有的一些令人匪夷所思的功能:

  • 捕捉你在键盘上的每一次敲击;
  • 如果发现某些击键(如“TopSecretWebsite.com”),它可以捕捉你随后敲击的大部分字母(如你的用户名和密码),然后通过短信发送给安设该装置的人。
  • 将击键日志保存在设备上面。这些记录既可以通过 USB 从 KeySweeper 设备上下载,也可以将第二台 KeySweeper 设备放在第一台 KeySweeper 的辐射范围内(比如墙壁另一面的插座上)。
  • 一旦插入插座,它就能通过墙上的电源充电
  • 当可疑人员将 KeySweeper 从墙上拔下来,给人感觉它好像是没电了,但其实它只是切换到电池电源模式,而且还可以继续保存日志,向外发送信息。

一个有利的方面是,今天市场上销售的大部分品牌的无线键盘都采用了更难破解的加密技术。例如,罗技就在其所有无线产品上 使用 128 位 AES 加密技术(若想了解详情,请参考 这份文件的第 6 页)。

据萨米估计,根据用户需要的具体功能,KeySweeper 的生产成本在 10 美元至 80 美元之间,例如,用户如果不需要短信支持,价格可以降低 45 美元左右。但需要指出的是,他的确并没有卖这些东西。

大家可以点击 此处 ,阅读萨米对 KeySweeper 项目的完整解读。

更新:尽管微软称只有 2011 年 7 月份上市的键盘才会受影响,但萨米在发给我的信息上指出,微软提到的键盘仍然在销售,而且似乎还在生产:

只想提一句——虽然微软声称它只影响在 2011 年之前上市的键盘,但这些有漏洞的键盘今天还在生产和销售,你甚至可以从微软自家网站和百思买这样的大型零售商买到。

我上个月刚刚从百思买购买了一个全新的有漏洞的键盘,序列号旁边的日期写着“07/2014”字样。

screen-shot-2015-01-14-at-3-41-51-pm

翻译:皓岳

This Fake Phone Charger Is Actually Recording Every Key You Type