羅技舊款Unifying 無線產品爆出漏洞,可能遭駭客攻擊安裝惡意軟體
2016 年羅技的無線鍵盤、無線滑鼠,甚至無線簡報器產品,遭爆出 MouseJack 重大安全性漏洞,有心駭客得以透過數行代碼,找出周遭的羅技 Unifying 無線接收器,接著對安裝該接收器的電腦,植入惡意軟體甚至清除磁碟上的內容。
當羅技在 2016 年遭爆 MouseJack 漏洞後,官方也立即發布了相關更新,本以為風暴就此平息,沒想到於三年後的現在,安全研究人員 Marcus Mengs 發現,羅技的 Unifying 接收器,現在依然容易遭到各種新發現的駭客手段進行攻擊。
這些在羅技 Unifying 接收器上的新發現的漏洞,已經被編號為 CVE-2019-13052、CVE-2019-13053、CVE-2019-13054 與 CVE-2019-13055,而羅技預計於八月時釋出更新,修補後兩個漏洞,但前兩個漏洞因會影響產品效能,且攻擊手段有一定難度,所以將放棄修正。
更值得消費者們注意的是,擁有上述漏洞的產品,目前依然於市面上進行銷售,而且自 2016 年爆出 MouseJack 安全性問題後,羅技並沒有實質召回任何擁有漏洞的產品,僅釋出了部分更新。
雖然羅技聲稱,不召回產品是評估了企業和消費者風險後所下的決定,但羅技也曾指出,他們會「逐步修復」這些漏洞,但很顯然成效不彰。
▲ 以 MX Anywhere 2S 無線滑鼠為例,此款產品受 CVE-2019-13052 漏洞影響,但羅技方面已表示,由於會影響產品效能,將放棄修復該安全性問題。
只不過,這些漏洞實際上也不只存在於羅技的鍵鼠產品,MouseJack 也影響了來自 DELL、HP,Lenovo 和微軟的設備,可能原因是這些裝置的無線接收器,同樣採用了來自 Nordic 和和德州儀器所開發的晶片,由於羅技允許使用者更新其 Unifying 接收器上的韌體,因此羅技的產品相對之下反倒更為安全。
以下是一些示範 CVE-2019-13052、CVE-2019-13053、CVE-2019-13054 與 CVE-2019-13055 等漏洞的攻擊影片,部分產品將在八月時獲得相應更新,如果仍在使用較舊裝置的朋友,或許可以考慮購入新產品(前提是羅技先將舊產品下架),避免可能的安全風險。