羅技應(yīng)用存在安全漏洞 可進行擊鍵注入攻擊

在忽略了Google的ProjectZero安全小組的一個bug報告之后，Logitech在等待了三個月之后，終于發(fā)布了其一個應(yīng)用程序的安全補丁。

該公司的Options應(yīng)用程序發(fā)現(xiàn)了該漏洞，該應(yīng)用程序允許用戶定制鼠標(biāo)、鍵盤和履帶上按鈕的功能和行為。

谷歌安全研究人員塔維斯·奧爾曼迪(TavisOrmandy)在9月份第一次發(fā)現(xiàn)該應(yīng)用程序是在用戶機器上打開WebSocket服務(wù)器的。

該服務(wù)器提供了對多個侵入性命令的支持，并在每次系統(tǒng)啟動時使用一個注冊表項自動啟動。

Ormandy提供了關(guān)于他在Logitech軟件中發(fā)現(xiàn)的bug如何在bug報告中用于控制用戶系統(tǒng)的更多細(xì)節(jié)，他說：

“唯一的身份驗證是，您必須提供用戶擁有的進程的PID（進程ID），但您可以得到無限的猜測，這樣您就可以在微秒內(nèi)強制它。在此之后，您可以發(fā)送命令和選項，配置皇冠以發(fā)送任意擊鍵等”。

Ormandy在9月份向Logitech報告了這個問題，盡管團隊承認(rèn)了這個錯誤報告，但它從未發(fā)布一個補丁來糾正這個問題。

如果一家公司在90天后還沒有發(fā)布安全問題補丁，ProjectZero的政策是公開披露Ormandy本周所做的漏洞。

這份bug報告在Twitter上引起了安全研究人員的關(guān)注，羅技公司發(fā)布了新版本的選項來解決這一問題。