O software de personalização de teclado, especialmente de marcas de teclado convencionais, já é um tanto quanto uma raquete. A maioria está muito inchada para uso diário ou pede que você se inscreva em uma conta antes de configurar qualquer coisa. A Razer e a SteelSeries oferecem softwares como este para suas linhas de periféricos e teclados para jogos, e agora estão sendo criticadas por terem vulnerabilidades exploradoras de dia zero.
Pesquisador de segurança jonhat no Twitter disseram que descobriram que conectar um periférico Razer em um PC com Windows 10 fornece ao usuário privilégios de sistema completos naquela máquina, apesar do status de administrador. Os privilégios do sistema são efetivamente o maior acesso que você pode obter a um PC com Windows. Normalmente, esse acesso é reservado para o proprietário do laptop ou computador. Mas, neste caso, qualquer um poderia teoricamente passar por ali, conectar um mouse Razer e instalar o que quiser-incluindo malware.
BleepingComputer testou a vulnerabilidade para confirmá-la. Depois de conectar um mouse Razer, demorou cerca de dois minutos para obter todos os privilégios de sistema no Windows 10. O mouse é programado para instalar automaticamente o driver Razer apropriado e o software Synapse que o acompanha assim que for conectado. Synapse é o que permite alterar o plano de fundo iluminar e programar as habilidades de um teclado ou mouse Razer. É também uma oportunidade adicional para a Razer vender a você as vantagens de escolher seus acessórios, e é por isso que a empresa deseja que o software seja instalado imediatamente após a compra.
Por sua vez, a Razer entrou em contato com o pesquisador de segurança original para confirmar se ele está trabalhando em uma correção para resolver esses problemas. A Razer também respondeu separadamente ao The Register : “Investigamos o problema e estamos fazendo alterações no aplicativo de instalação para limitar este caso de uso e lançará uma versão atualizada em breve. O uso de nosso software (incluindo o aplicativo de instalação) não fornece acesso não autorizado de terceiros à máquina. ”
É um caso semelhante para o fabricante de teclados e mouses para jogos SteelSeries, que faz o software SteelSeries Engine mudar iluminação e macros de programa em teclados SteelSeries selecionados. Isso inclui o Apex Pro, um dos principais teclados mecânicos para jogos devido ao seu acionamento ajustável. Mas para habilitar essa capacidade, você precisa do software.
O pesquisador de segurança Lawrence Amer descobriu que o software SteelSeries Engine também pode ser explorado para obter direitos administrativos. Ele tem uma vulnerabilidade semelhante à do Razer, que permite acesso ao prompt de comando no Windows 10 com capacidade de administrador completa-o que é possível simplesmente conectando um teclado SteelSeries. Em resposta a BleepingComputer , a SteelSeries disse que está ciente do problema e que “desabilitou proativamente o lançamento do instalador SteelSeries que é acionado quando um novo dispositivo SteelSeries é conectado.”
Este não é o primeiro tempo que a Razer enfrentou escrutínio para não proteger seus usuários. Outros fabricantes de periféricos, como Das Keyboard e Logitech , também tiveram falhas de segurança em seus respectivos softwares. É frustrante para os usuários que não têm outra escolha para personalizar teclados e mouses caros. Não há muitas opções de código aberto disponíveis, e as que existem tendem a ser voltadas para fabricantes independentes de teclados e periféricos.
O outro problema aqui é que o Windows permite esse tipo de acesso simplesmente conectando um periférico. Você pode ter escolhido um tipo específico de teclado ou mouse para o seu computador, mas apenas conectar um dispositivo não deve significar consentimento automático para software com acesso de nível administrativo. Razer e SteelSeries teriam feito melhor se apontassem para você fazer o download do software de seus respectivos sites. Pelo menos assim, há uma ilusão de escolha.
