三年半前,外媒 The Verge 的编辑 Sean Hollister 亲眼见证了安全专家 Marc Newlin 在不物理接触设备、甚至不需要知道 IP 地址的情况下,利用罗技无线鼠标上的小型 USB 收发器触发几行代码,就可以实现全格硬盘、安装恶意程序等一系列操作,更糟糕的是整个操作就像物理访问该电脑一样。于是在 2016 年,外媒 The Verge 发表了关于 "MouseJack" 的黑客方式,罗技官方随后也立即发布了紧急修复补丁来修复这个问题。
然而本周早些时候,安全专家Marcus Mengs表示罗技的无线 Unifying dongles 实际上依然存在漏洞,非常容易受到黑客的攻击。当用户配对新的鼠标或者键盘时候,就有机会入侵你的电脑。
而且 Mengs 表示罗技依然在销售那些容易受到 MouseJack 黑客攻击的 USB 收发器。随后外媒 TheVerge 就立即联系 Newlin,随后他表示在近期购买的罗技 M510 鼠标上依然搭配的是这种有安全漏洞的 USB 收发器。
随后外媒 The Verge 联系了罗技,一位公司代表承认市场上依然存在一些尚未打上补丁的 USB 收发器。事实上,在 2016 年年初被曝光 MouseJack 漏洞以来公司并没有真正意义上的产品召回。
罗技评估了企业和消费者的风险,并没有召回已经进入市场和供应链的产品或组件。我们为任何特别关注的客户提供了固件更新,并对以后生产的产品进行了更改。
罗技代表表示公司确实为新制造的产品 " 逐步修复 ",但他们还不能确认何时在工厂进行了更改。
根据 Newlin 的说法,MouseJack 并不仅限于罗技,戴尔,惠普,联想和微软等使用了 Nordic 和 Texas Instruments 公司芯片和固件的无线接收器均存在相同的问题。不过罗技的优点之一,就是允许用户更新这些无线接收器的固件。
【来源:cnBeta】
