約莫 2016 年,羅技曾傳出滑鼠的 Dongle 能被駭客輕鬆入侵且控制,進而將被入侵的電腦進行各種惡意行為,例如把硬碟格式化、安裝木馬等等,當時這樣的情況被稱為 MouseJack ,而羅技也在事情發生後允諾透過 Patch 修正這項漏洞;然而三年過去了,最近的安全報告指出,連新版的 Unifying 接收器也有被駭客入侵的疑慮,目前已經有四種以上的新漏洞,而若未持續更新韌體, Unifying 接收器也可能循 MouseJack 方式入侵。
同時在三年的時間過去,根據當初進行實際入侵羅技滑鼠展示的研究員表示,他最近買的 M510 無線滑鼠,還是有 MouseJack 的漏洞,這也表示市場上銷售的產品當中還是有容易被入侵的舊版產品。
▲羅技並未回收在通路上有 MouseJack 疑慮的舊款產品
目前實際的狀況是這樣:羅技在發生事件後雖然有提供 Patch 為 Dongle 進行韌體更新,但並未針對有疑慮的產品進行市場回收,雖然羅技在後續生產的新產品已經逐步在生產過程中透過 Patch 修正漏洞,不過已經出貨的產品就不管了,這也導致市場庫存的舊款非 Unifying 接收器產品仍留有漏洞。
雖然 Unifying 接收器被爆出有漏洞,不過入侵的方式遠比舊款接收器來的複雜,羅技預計在今年八月份針對此次四項新漏洞修復其中的兩項需要透過物理入侵方式的漏洞,但仍有兩項漏洞並未計畫修復,同時羅技也還未表示為何不修復這兩項漏洞的原因。
然而這項 MouseJack 漏洞並非只存在於羅技無線產品,使用相同 Nordic 、德州儀器晶片的無線接收器的產品,例如 Dell 、 HP 、 Lenovo 與微軟的設備也有相同的 MouseJack 潛在危險,不過僅有羅技提供消費者手動更新 Unifying 接收器韌體,相對之下仍是有設法解決問題,只是解決的還是不夠徹底。
新聞來源: The Verge
10 則回應