Neues SySS Proof-of-Concept Video: Keystroke Injection-Angriff gegen Wireless Presenter

SySS IT-Sicherheitsexperte Matthias Deeg demonstriert über viele Jahre öffentlich bekannte Sicherheitsschwachstelle in Wireless Presenter

In unserem neuesten SySS Proof-of-Concept Video Logitech R400 Keystroke Injection Attack demonstriert SySS IT-Sicherheitsexperte Matthias Deeg, wie sich ein Computersystem durch Ausnutzen einer Keystroke Injection-Schwachstelle des Wireless Presenter Logitech R400 mittels Funkkommunikation aus der Ferne angreifen lässt.

Die Tatsache, dass drahtlose Eingabegeräte wie Wireless Presenter anfällig für diese Art von Sicherheitsschwachstelle sein können, ist nicht neu und wurde beispielsweise anhand eines älteren Models des Logitech R400 von Niels Teusink bereits im Jahr 2010 auf der IT-Sicherheitskonferenz Hack in the Box (HITB) in Amsterdam in seinem Vortrag Owned Live on Stage und in seinem Blog-Artikel Hacking wireless presenters with an Arduino and Metasploit demonstriert.

Im Jahr 2016 meldete die SySS GmbH mit dem Security Advisory SYSS-2016-074 eine Keystroke Injection-Schwachstelle in einer neueren Produktversion des Wireless Presenter Logitech R400 (Model R-R0008), die eine andere Funktechnologie einsetzt (nRF24 von Nordic Semiconductor anstatt CYRF69103 von Cypress Semiconductor). Und auch bei der Analyse eines Anfang 2019 gekauften Logitech R400 stellte Matthias Deeg fest, dass die Keystroke Injection-Schwachstelle immer noch in diesem Produkt vorhanden ist.

Der Wireless Presenter Logitech R400 ist somit ein schönes Beispiel dafür, dass eine Sicherheitsschwachstelle in einem Produkt über viele Jahre öffentlich bekannt sein kann und trotzdem nicht in neueren auf den Markt gebrachten Produktversionen, die teilweise auch einen Technologiewechsel mit sich bringen, durch den Hersteller behoben wird.

Neben dieser Keystroke Injection-Schwachstelle im Wireless Presenter Logitech R400 haben die zwei SySS IT-Sicherheitsexperten Matthias Deeg und Gerhard Klostermeier in den vergangenen 2,5 Jahren weitere Sicherheitsschwachstellen und interessante Geschichten zu verschiedenen drahtlosen Eingabegeräten unterschiedlicher Hersteller gesammelt, die sie unter anderem auf der diesjährigen IT-Sicherheitskonferenz CONFidence am 4. Juni 2019 in Krakau präsentieren werden.

Weitere Videos finden Sie auf unserem YouTube-Kanal "SySS Pentest TV"


Termine

22.10.2019
Secu1: Digitale Forensik bei Computern und Smartphones

22.10.2019
Karriereforum in Salzburg

24.10.2019
MINT-Jobtag in Stuttgart

24.10.2019 15:50
SySS auf der t2 infosec conference