Fujitsu stoppt Verkauf des beliebten Wireless Keyboard Set LX901

Gefundene Risikoschwachstelle erzeugt erhebliches Medienecho und konsequente Reaktion

SySS-IT-Sicherheitsexperte Matthias Deeg fand im Rahmen eines Forschungsprojekts eine Keystroke Injection-Schwachstelle im Fujitsu Wireless Keyboard Set LX901. Das Proof-of-Concept-Video ist auf unserem YouTube-Kanal zu sehen. Ausführlich beschrieben wird die Schwachstelle im Advisory auf unserem Pentest Blog

Auch die Medien, nicht zuletzt internationale, interessierten sich für Matthias Deegs Fund. Zuerst berichtete das Onlinemagazin Ars Technica am 16. März 2019 darüber und listete detailliert die Geschehnisse seit der Benachrichtigung des Herstellers über die Schwachstelle im Oktober 2018 (SySS Responsible Disclosure Policy) auf.

Auf die Frage von Ars Technica nach Mitteln und Wegen, die Ausnutzung der Keystroke Injection-Schwachstelle zu verhindern, antwortet Matthias Deeg: „[T]here is no reliable way keyboard users can protect themselves against the vulnerabilities other than to ensure they are completely isolated from all other radio-based devices.“ „The only protection I can think of is having an extensive control over the environment and the people where the keyboard is used,“ he wrote in an email. “Using the keyboard in a radio-shielded place, for instance a basement, where no untrustworthy person can gain physical proximity and send any radio data packets to the USB receiver, should be quite secure. =).”

Lindsey O'Donnell berichtete am 15. März auf der unabhängigen Nachrichtenseite threatpost.com:
„Fujitsu is stopping sales for its popular wireless keyboard after a researcher discovered it is vulnerable to keystroke injection attacks that could allow an adversary to take control of a victim’s system.“
Die Autorin zitiert in ihrem Artikel aus einer Stellungnahme von Fujitsu:

„Fujitsu is aware of the recent media reports concerning a potential vulnerability affecting its Wireless Keyboard Set LX901 […] Fujitsu is currently looking into the potential issue with the Wireless Keyboard Set LX901. As a precaution Fujitsu has already stopped direct and indirect sales of the Wireless Keyboard Set LX901.“

Sie erinnert ebenfalls daran, dass IT-Sicherheitsexperte Matthias Deeg bereits 2016 eine ähnliche Schwachstelle entdeckt hatte, auf die Fujitsu nicht reagierte.

Für ZDNet, eine Nachrichten-Website für Unternehmenstechnologien, berichtete am 15. März Catalin Cimpanu von der Keystroke Injection-Schwachstelle.  Auch er hält fest, dass Fujitsu nach Mitteilung der Sicherheitslücke keinen Patch bereitstellte und  zitiert aus einem Interview, das ZDNet mit Matthias Deeg geführt hat: "In my communication with Fujitsu regarding the keystroke injection vulnerability, I did not receive any feedback regarding a patch for this security issue," the researcher told us when we inquired if Fujitsu intimated that a fix might be released in the future, even after his public disclosure.

Außerdem macht der Artikel die Stellungnahme von Fujitsu öffentlich zugänglich:

„Thank you very much for your information about our wireless keyboard. As we have already pointed out, we believe that the described scenario is not easy to perform under real conditions due to the radio protocol used. As mentioned, our product is not destined to sell security, but convenience in the first place (without the security drawbacks of unencrypted wireless keyboards). Any new information and insights will be incorporated into the already planned successor product.“

Der Autor des Artikels kommt zu einer anderen Einschätzung: „The radio gear […] can be easily concealed underneath clothes and a threat actor can inject malware into unattended systems just by walking by targeted computers.“

Matthias Deeg selbst rät im Interview: „I do not recommend using this vulnerable keyboard in an environment with higher security demands […]. And I would advise not using it in exposed places where external attackers may come easily in the 2.4 GHz radio communication range of the wireless keyboard. […] And if I was a company or a public authority and I didn't trust the people having access to my premises, like employees, contractors, or visitors, I would also not use vulnerable keyboards with my computer systems".

Auch golem.de berichtete für die interessierte deutschsprachige Fachwelt über die entdeckte Anfälligkeit sowie über mögliche Konsequenzen.


Termine

02.07.2019 - 04.07.2019
Secu2: Incident Response
09.07.2019 - 10.07.2019
Hack5: Exploit Development
11.07.2019
Secu5: Planung und Durchführung von Penetrationstests
16.07.2019 - 17.07.2019
Hack7: Sicherheit und Einfallstore bei Webapplikationen