Sicherheitsexperten schlagen Alarm
Von den Risiken, die von Tastaturen ausgehen berichtete aktuell derStandard.at unter Berufung auf Wired. Sicherheitsexperten wie Marc Newlin vom Bastille Research Team schlagen Alarm in Anbetracht der Ausstattung von Millionen drahtloser Keyboards, die die Eingaben des nutzers unverschlüsselt an den jeweiligen USB-Empfänger senden.
Wie verlautet wurden bisher Tastaturen der Hersteller Toshiba, Anker, EagleTec, General Electric, Insignia, HP, Kensington und die Eigenmarke des US-Elektronikhändlers Radioshack getestet. Daneben scheint es aber auch noch viele unentdeckte Fälle zu geben. Eine Liste der betroffenen Geräte ist auf der Seite KeySniffer zu finden.
Alle Tastaturen mit „Schwachstelle“ funken über das 2,4-GHz-Band unter Verwendung eines eigenen, proprietären Standards, deren Gefährlichkeit allerdings erst nach eingehenden Expertenuntersuchungen aufgedeckt werden konnte.
Überwachung aus der Ferne unproblematisch
Dem Wissenschaftler Newlin gelang es auf Entfernungen von bis zu 75 km eine Überwachung. Eine Tatsache, die aufhorchen lässt, da es auf diese Weise mit guter Ausstattung möglich ist, ganze Büros einfach auszuhorchen.
Der Experte gelangte zu der Auffassung, dass die Kenntnis der Tastatur-Kommunikation erlaube, auch selber gefälschte Eingaben an die Empfänger der Geräte zu schicken. Dies würde etwa die Installation von Malware oder Datenklau erlauben und er kommentiert, dass ein solcher Angriffsweg vergleichbar ist:
"physischem Zugang zum Rechner des Opfers"
Wie reagieren die Hersteller?
Auf entsprechende Informationen an die Hersteller reagierten nur drei Firmen:
- Jasco Products, die für General Electric produzieren, will Kunden, die mit dem Unternehmen Kontakt aufnehmen, nicht näher definierte Problemlösungen anbieten.
- Kensington will per Firmware-Update AES-Verschlüsselung nachreichen, auch hier sollten sich Kunden an den Support wenden.
- Anker hat angekündigt, den Verkauf des betroffenen Modells auszusetzen und bietet Besitzern desselben einen kostenlosen Austausch gegen ein Bluetooth-Keyboard, sofern es sich noch innerhalb der Gewährleistungszeit befindet.
Der Expertenrat
Betroffene sollten auf verkabelte Keyboards oder Drahtlos-Tastaturen auf Bluetooth-Basis ausweichen.
Weiterführende Links:
derStandard.at: Passwortklau und Malware: Millionen Drahtlos-Tastaturen als Sicherheitsrisiko