Neues SySS-Proof-of-Concept-Video: Keystroke Injection-Angriff gegen Wireless Presenter

16.05.2019 – Know-how

SySS IT-Sicherheitsexperte Matthias Deeg demonstriert über viele Jahre öffentlich bekannte Sicherheitsschwachstelle in Wireless Presenter

In unserem neuesten SySS Proof-of-Concept Video Logitech R400 Keystroke Injection Attack demonstriert SySS IT-Sicherheitsexperte Matthias Deeg, wie sich ein Computersystem durch Ausnutzen einer Keystroke Injection-Schwachstelle des Wireless Presenter Logitech R400 mittels Funkkommunikation aus der Ferne angreifen lässt.

Die Tatsache, dass drahtlose Eingabegeräte wie Wireless Presenter anfällig für diese Art von Sicherheitsschwachstelle sein können, ist nicht neu und wurde beispielsweise anhand eines älteren Models des Logitech R400 von Niels Teusink bereits im Jahr 2010 auf der IT-Sicherheitskonferenz Hack in the Box (HITB) in Amsterdam in seinem Vortrag Owned Live on Stage und in seinem Blog-Artikel Hacking wireless presenters with an Arduino and Metasploit demonstriert.

Im Jahr 2016 meldete die SySS GmbH mit dem Security Advisory SYSS-2016-074 eine Keystroke Injection-Schwachstelle in einer neueren Produktversion des Wireless Presenter Logitech R400 (Model R-R0008), die eine andere Funktechnologie einsetzt (nRF24 von Nordic Semiconductor anstatt CYRF69103 von Cypress Semiconductor). Und auch bei der Analyse eines Anfang 2019 gekauften Logitech R400 stellte Matthias Deeg fest, dass die Keystroke Injection-Schwachstelle immer noch in diesem Produkt vorhanden ist.

Der Wireless Presenter Logitech R400 ist somit ein schönes Beispiel dafür, dass eine Sicherheitsschwachstelle in einem Produkt über viele Jahre öffentlich bekannt sein kann und trotzdem nicht in neueren auf den Markt gebrachten Produktversionen, die teilweise auch einen Technologiewechsel mit sich bringen, durch den Hersteller behoben wird.

Neben dieser Keystroke Injection-Schwachstelle im Wireless Presenter Logitech R400 haben die zwei SySS IT-Sicherheitsexperten Matthias Deeg und Gerhard Klostermeier in den vergangenen 2,5 Jahren weitere Sicherheitsschwachstellen und interessante Geschichten zu verschiedenen drahtlosen Eingabegeräten unterschiedlicher Hersteller gesammelt, die sie unter anderem auf der diesjährigen IT-Sicherheitskonferenz CONFidence am 4. Juni 2019 in Krakau präsentieren werden.

Weitere Videos finden Sie auf unserem YouTube-Kanal "SySS Pentest TV"

SySS Newsletter abonnieren

Termine

23.04.2024 - 25.04.2024
Hack9: Embedded Security

24.04.2024
SySS bei der Technologiewerkstatt Albstadt

25.04.2024
SySS bei dem VDE

06.05.2024 - 07.05.2024
Hack7: Sicherheit und Einfallstore bei Webapplikationen

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Direkter Kontakt

+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN

+49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Trotz regelmäßiger Kontrolle verlinkter Webseiten können wir nicht für fremde Inhalte haften.