Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш

Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш

Изначально Logitech проигнорировала сообщение о проблеме и выпустила патч только после того, как информация была обнародована.

Специалист Google Project Zero Тэвис Орманди (Tavis Ormandy) выявил уязвимость в одном из приложений Logitech, предоставляющую возможность удаленно инициировать нажатия клавиш на компьютере пользователя (так называемая атака keystroke injection).

Речь идет о программе Options, позволяющей настраивать кнопки и поведение клавиатуры, мыши и тачпада. Как обнаружил Орманди, приложение открывало на компьютере WebSocket сервер. Проблема заключалась в том, что сервер поддерживал ряд интрузивных команд, использовал ключ реестра для автоматического запуска при каждой загрузке системы и применял ненадежную систему аутентификации.

Единственная «аутентификация», которую нужно было пройти, заключалась в предоставлении PID (идентификатор процесса) процесса, запущенного пользователем, однако ограничение на число попыток не было установлено, так что взлом с помощью брутфорса занимал считанные секунды. Далее злоумышленник мог отправлять различные команды, которые инициировали нажатия клавиш, пояснил эксперт.

Орманди обнаружил уязвимость в середине сентября нынешнего года, тогда же он проинформировал производителя о проблеме. Однако Logitech выпустила исправленную версию Options 7.00.564 только спустя три месяца, практически сразу после того, как специалист обнародовал информацию.


Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.