Vulnerabilidade de teclados Microsoft pode expor dados confidenciais [com vídeo]

HOMESegurança

Um especialista em segurança digital veio a público afirmando ter desenvolvido um dispositivo USB que explora uma séria vulnerabilidade de segurança de teclados sem fio da Microsoft. Com o equipamento – que tem inclusive instruções detalhadas para que qualquer um o construa – praticamente qualquer modelo de teclado que opere via RF pode ser monitorado.

Um especialista em segurança digital veio a público afirmando ter desenvolvido um dispositivo USB que explora uma séria vulnerabilidade de segurança de teclados sem fio da Microsoft. Com o equipamento – que tem inclusive instruções detalhadas para que qualquer um o construa – praticamente qualquer modelo de teclado que opere via RF pode ser monitorado.

keysweeper_sniffer_samypl

O pequeno aparelho, denominado KeySweeper, é montado dentro de um carregador USB funcional. Uma vez plugado na tomada, ele monitora secretamente qualquer teclado RF da Microsoft na sala, conseguindo decriptar os toques de teclado, gravar relatórios e até enviá-los, até por rede celular, ao dono do dispositivo. Senhas, dados bancários e documentos confidenciais podem ser capturados em tempo real, enquanto são digitados.

Segundo Samy Kamkar, o pesquisador que descobriu a falha, o dispositivo pode ser feito com cerca de US$ 10. Com mais US$ 3, é possível incluir comunicação celular ao gadget. Ele é tão insidioso que consegue funcionar, por um período breve, fora da tomada, no bolso do bisbilhoteiro digital.

A Microsoft utiliza criptografia nos protocolos de comunicação dos teclados, mas segundo Kamkar, vários bugs primários tornam essa criptografia totalmente inútil. Nem todos os modelos foram testados, mas, ainda segundo o pesquisador, todos os modelos são muito similares.

Ao site especializado VentureBeat, a Microsoft declarou que a empresa está ciente sobre o KeySweeper e que está investigando a questão.

Além das instruções detalhadas de como criar o aparelho, Samy Kamkar inclusive fez um vídeo explicativo, com quase meia hora de duração:

A vulnerabilidade deve atingir teclados lançados antes de 2011, que segundo a própria Microsoft não utilizam o protocolo de segurança AES, mas Kamkar, ao site TechCrunch, afirmou que os equipamentos vulneráveis ainda estão à venda. De acordo com o pesquisador, a unidade de testes que ele utilizou foi fabricada em julho de 2014.

É importante frisar que a vulnerabilidade não afeta teclados bluetooth, que utilizam uma frequência diferente, além de protocolos de segurança mais robustos.


Clique para ler a bio do autor  Clique para fechar a bio do autor