USB-Ladegerät spioniert kabellose Microsoft-Tastaturen aus

15. Januar 2015, 10:11
  • security
image

Der --http://samy.

Der KeySweeper.
SMS-Notifys möglich
Der KeySweeper kann laut Kamkar "drahtlos und passiv alle Tastenanschläge jedes kabellosen Microsoft-Keyboards in der Umgebung erschnüffeln, entschlüsseln, protokollieren und (via GSM) Bericht erstatten". Möglich sind auch SMS-Benachrichtigungen bei bestimmten Eingaben wie Schlüsselwörtern oder der URL einer Bank.
Das zugehörige Web-Tool wiederum erlaubt es, alle per KeySweeper ausspionierten Eingaben in Echtzeit mitzuverfolgen. Ein Akku hält den Betrieb aufrecht, wenn das Gerät von der Steckdose genommen wird. Dabei hat der Sicherheitsexperte das auf einem Arduino-Controller basierende Gadget nach eigenen Angaben in wenigen Tagen zusammengebastelt.
Schwachstelle MAC
Um die Keyboard-Spionage zu ermöglichen, setzt KeySweeper auf eine Reihe von Sicherheitslücken. Besonders wichtig ist dabei ein Problem mit zur Geräteidentifikation dienenden MAC-Adressen, das speziell Microsoft-Tastaturen betrifft. Denn Kamkar zufolge nutzen alle Keyboards der Herstellers MAC-Adressen, die das gleiche erste Byte haben.
Das macht es letztlich möglich, jeden Tastenanschlag eines Keyboards zu erkennen und zu entschlüsseln, ohne dessen genaue MAC-Adresse tatsächlich zu kennen. Dabei kosten die Teile für das Spionage-Gadget zusammen gerade einmal 80 Dollar - oder noch weniger, wenn man auf Luxus wie SMS-Benachrichtigungen verzichtet.
KeySweeper hat "bei einem brandneuen Keyboard funktioniert, das ich erst vor wenigen Wochen gekauft habe", so Kamkar gegenüber 'VentureBeat'. Er gibt sich zuversichtlich, dass das Spionage-Keyboard jedes Microsoft-Keyboard abhören kann, hat dies aber noch nicht getestet. Laut einem Unternehmenssprecher hat Microsoft bereits mit einer Untersuchung des Gadgets begonnen, berichtet das Technikportal. (pte)

Loading

Mehr zum Thema

image

Slack gibt Passwort-Fehltritt zu

Fünf Jahre lang hätten böswillige Angreifer unter Umständen Passwörter abgreifen können.

publiziert am 9.8.2022
image

IT-Security: Personalmangel ist das Problem, nicht das Geld

Laut einer internationalen Umfrage sehen Security-Verantwortliche nur bei jedem 10. Unternehmen Probleme wegen des Security-Budgets.

publiziert am 8.8.2022
image

Wie es zur Warnung vor Kaspersky kam

Dokumente des deutschen Amtes für Cybersicherheit stützen die Position von Kaspersky. Der Security-Anbieter kritisierte die BSI-Warnung als politischen Entscheid.

publiziert am 5.8.2022
image

Bund beschafft zentrale Bug-Bounty-Plattform

Das NCSC leitet die künftigen Programme, Bug Bounty Switzerland liefert und verwaltet die Plattform.

publiziert am 3.8.2022