羅技應(yīng)用存在安全漏洞 可進(jìn)行擊鍵注入攻擊

在忽略了Google的ProjectZero安全小組的一個(gè)bug報(bào)告之后，Logitech在等待了三個(gè)月之后，終于發(fā)布了其一個(gè)應(yīng)用程序的安全補(bǔ)丁。

該公司的Options應(yīng)用程序發(fā)現(xiàn)了該漏洞，該應(yīng)用程序允許用戶(hù)定制鼠標(biāo)、鍵盤(pán)和履帶上按鈕的功能和行為。

谷歌安全研究人員塔維斯·奧爾曼迪(TavisOrmandy)在9月份第一次發(fā)現(xiàn)該應(yīng)用程序是在用戶(hù)機(jī)器上打開(kāi)WebSocket服務(wù)器的。

該服務(wù)器提供了對(duì)多個(gè)侵入性命令的支持，并在每次系統(tǒng)啟動(dòng)時(shí)使用一個(gè)注冊(cè)表項(xiàng)自動(dòng)啟動(dòng)。

Ormandy提供了關(guān)于他在Logitech軟件中發(fā)現(xiàn)的bug如何在bug報(bào)告中用于控制用戶(hù)系統(tǒng)的更多細(xì)節(jié)，他說(shuō)：

“唯一的身份驗(yàn)證是，您必須提供用戶(hù)擁有的進(jìn)程的PID（進(jìn)程ID），但您可以得到無(wú)限的猜測(cè)，這樣您就可以在微秒內(nèi)強(qiáng)制它。在此之后，您可以發(fā)送命令和選項(xiàng)，配置皇冠以發(fā)送任意擊鍵等”。

Ormandy在9月份向Logitech報(bào)告了這個(gè)問(wèn)題，盡管團(tuán)隊(duì)承認(rèn)了這個(gè)錯(cuò)誤報(bào)告，但它從未發(fā)布一個(gè)補(bǔ)丁來(lái)糾正這個(gè)問(wèn)題。

如果一家公司在90天后還沒(méi)有發(fā)布安全問(wèn)題補(bǔ)丁，ProjectZero的政策是公開(kāi)披露Ormandy本周所做的漏洞。

這份bug報(bào)告在Twitter上引起了安全研究人員的關(guān)注，羅技公司發(fā)布了新版本的選項(xiàng)來(lái)解決這一問(wèn)題。