V roce 2019 oslovil společnost Logitech bezpečnostní výzkumník ohledně tří potenciálních zranitelných míst souvisejících s přijímačem Logitech Unifying. Ihned jsme s ním začali komunikovat, abychom jeho tvrzení posoudili a problémy příslušným způsobem vyřešili.

Nejprve bychom vás rádi ujistili, že tento výzkum byl proveden v kontrolovaném prostředí. Zneužití zranitelných míst by vyžadovalo speciální vybavení a dovednosti, a také blízkou přítomnost cílového počítače nebo zařízení – nebo dokonce fyzický přístup k němu.

Lidem, kteří se obávají o své soukromí, doporučujeme věnovat pozornost a přijmout bezpečnostní opatření pro výpočetní zařízení popsaná v níže uvedených Častých dotazech.

Jedno ze zranitelných míst bylo opraveno aktualizacemi firmwaru – nejnovější verzi si můžete stáhnout zde.

Soukromí našich zákazníků bereme velmi vážně a tato zjištění nám pomáhají neustále zlepšovat naše produkty.

Otázka: Jaká zranitelná místa byla ohlášena bezpečnostním výzkumníkem?
Odpověď: Byla ohlášena tři potenciálně zranitelná místa. Dvě z nich se týkají extrahování šifrovacího klíče, který zajišťuje komunikaci mezi zařízením Logitech a přijímačem Logitech Unifying USB. Třetí se týká překonání překážek mezi zařízením a přijímačem USB za účelem podsunutí stisků kláves.

Osoba, která by se je pokoušela replikovat, by potřebovala odborné znalosti a speciální vybavení a musela by být v dosahu 10 m. Musela by jednat během několika sekund, kdy se někdo pokouší o opakované spárování zařízení s přijímačem Unifying, nebo by potřebovala fyzický přístup k cílovému zařízení nebo počítači.

Otázka: Jak mám chránit své soukromí při používání produktů Logitech?
Odpověď: Své soukromí můžete chránit osvojením některých základních principů při používání počítače a produktů Logitech.

V první řadě se při dodržování bezpečnostních opatření v typické kanceláři nebo doma řiďte zdravým rozumem a nedovolte, aby cizí lidé měli fyzický přístup nebo možnost manipulace s počítačem nebo vstupními zařízeními.

Za druhé, všechna naše zařízení Unifying jsou bezpečně spárována s bezdrátovým přijímačem během výroby a poté již párování není zapotřebí. Možnost spárovat druhé, třetí nebo čtvrté zařízení s jediným přijímačem USB je však jednou z předností naší bezdrátové technologie Unifying, takže ji umožňujeme prostřednictvím jednoduchého softwaru. Pokud budete chtít spárovat zařízení s přijímačem Unifying, mohl by tento postup umožnit hackerovi – se správným vybavením, dovednostmi a fyzickou blízkostí k počítači – „odposlouchat“ šifrovací klíč. Tento krátký postup by tedy měl být proveden pouze tehdy, je-li naprosto jisté, že v okolí 10 m / 30 ft neprobíhá žádná podezřelá aktivita.

Poznámka: Pokud vaše zařízení přestane fungovat, není to nikdy z důvodu ztráty párování s přijímačem USB, tudíž k odstranění problému není nutné opětovné párování.

Otázka: Kterých produktů Logitech se týká toto hlášení o zranitelnosti?
Odpověď: Týká se myší a klávesnic využívajících bezdrátový protokol Logitech Unifying. Produkty Unifying můžete identifikovat pomocí malého oranžového loga na bezdrátovém přijímači USB, které se vyznačuje tvarem se šesti body. Týká se také prezentačního ovladače Spotlight a zařízení R500 Presenter.

Potenciálním zranitelným místem – možností extrakce šifrovacího klíče – jsou také postiženy herní produkty Logitech LightSpeed.

Otázka: Mohu nainstalovat aktualizaci firmwaru, která mě před těmito hrozbami ochrání? Jak?
Odpověď: Dvě z těchto zranitelných míst (známých jako CVE-2019-13053 a CVE-2019-13052) by mohl útočník zneužít jen těžko, a mohou být účinně chráněny tím, že se budete řídit pokyny na ochranu výpočetních zařízení uvedenými výše. Nebudeme je řešit pomocí aktualizací firmwaru, protože by to mělo negativní dopad na interoperabilitu s jinými zařízeními Unifying.

Tématem bezpečnosti se však velmi vážně zabýváme a doporučujeme našim zákazníkům aktualizovat své bezdrátové přijímače Unifying USB tak, aby obsahovaly nejnovější firmware. Aktualizace firmwaru vydané od srpna 2019 řeší třetí zranitelné místo (známé jako CVE-2019-13054/55) – nejnovější verzi firmwaru si můžete stáhnout zde.

Pro uživatele počítačů PC a Mac: Jednoduchý aktualizační nástroj si můžete stáhnout zde

Pro uživatele počítačů Linux: Aktualizovaný firmware budeme distribuovat prostřednictvím služby Linux Vendor Firmware Service na stránce https://fwupd.org/

Naši podnikoví zákazníci si mohou stáhnout centrálně šiřitelný nástroj pro PC zde:
Stáhnout nástroj Script DFU Tool