羅技舊款Unifying 無線產品爆出漏洞，可能遭駭客攻擊安裝惡意軟體

2016 年羅技的無線鍵盤、無線滑鼠，甚至無線簡報器產品，遭爆出 MouseJack 重大安全性漏洞，有心駭客得以透過數行代碼，找出周遭的羅技 Unifying 無線接收器，接著對安裝該接收器的電腦，植入惡意軟體甚至清除磁碟上的內容。

當羅技在 2016 年遭爆 MouseJack 漏洞後，官方也立即發布了相關更新，本以為風暴就此平息，沒想到於三年後的現在，安全研究人員 Marcus Mengs 發現，羅技的 Unifying 接收器，現在依然容易遭到各種新發現的駭客手段進行攻擊。

這些在羅技 Unifying 接收器上的新發現的漏洞，已經被編號為 CVE-2019-13052、CVE-2019-13053、CVE-2019-13054 與 CVE-2019-13055，而羅技預計於八月時釋出更新，修補後兩個漏洞，但前兩個漏洞因會影響產品效能，且攻擊手段有一定難度，所以將放棄修正。

更值得消費者們注意的是，擁有上述漏洞的產品，目前依然於市面上進行銷售，而且自 2016 年爆出 MouseJack 安全性問題後，羅技並沒有實質召回任何擁有漏洞的產品，僅釋出了部分更新。

雖然羅技聲稱，不召回產品是評估了企業和消費者風險後所下的決定，但羅技也曾指出，他們會「逐步修復」這些漏洞，但很顯然成效不彰。

▲ 以 MX Anywhere 2S 無線滑鼠為例，此款產品受 CVE-2019-13052 漏洞影響，但羅技方面已表示，由於會影響產品效能，將放棄修復該安全性問題。

只不過，這些漏洞實際上也不只存在於羅技的鍵鼠產品，MouseJack 也影響了來自 DELL、HP，LENOVO 和微軟的設備，可能原因是這些裝置的無線接收器，同樣採用了來自 Nordic 和和德州儀器所開發的晶片，由於羅技允許使用者更新其 Unifying 接收器上的韌體，因此羅技的產品相對之下反倒更為安全。

以下是一些示範 CVE-2019-13052、CVE-2019-13053、CVE-2019-13054 與 CVE-2019-13055 等漏洞的攻擊影片，部分產品將在八月時獲得相應更新，如果仍在使用較舊裝置的朋友，或許可以考慮購入新產品（前提是羅技先將舊產品下架），避免可能的安全風險。

來源：The Verge、ZDNet