I 2019 henvendte en sikkerhedsforsker sig til Logitech angående tre potentielle sårbarheder relateret til Logitechs Unifying-modtager. Vi har været i kommunikation med ham siden for at vurdere hans påstande og behandle dem som nødvendige.

Vi vil først forsikre dig om, at denne forskning blev udført i et kontrolleret miljø. Sårbarhederne ville kræve specielt udstyr og færdigheder samt nærhed til - eller endda fysisk adgang til - målets computer eller enhed.

Folk, der er bekymrede for deres privatliv, bør notere sig og anvende de computersikkerhedsforanstaltninger, der er beskrevet i nedenstående spørgsmål og svar.

En af sårbarhederne er blevet løst med firmwareopdateringer, og du kan downloade den nyeste version her.

Vi tager vores kunders privatliv meget alvorligt, og disse fund hjælper os med løbende at forbedre vores produkter.

Sp: Hvad er de sårbarheder, der er rapporteret af sikkerhedsforskeren?
SV: Tre potentielle sårbarheder blev rapporteret. To af dem vedrører udpakning af krypteringsnøglen, der sikrer kommunikationen mellem Logitech-enheden og Logitech Unifying USB-modtageren. Den tredje vedrører overvindelse af barrierer for injektion af tastetryk mellem enheden og USB-modtageren.

En person, der forsøger at replikere disse, har brug for ekspertise og specielt udstyr og være inden for en rækkevidde på 10 meter. De har brug for at handle i de få sekunder, når nogen parrer en enhed til Unifying-modtageren eller har brug for fysisk adgang til målets enhed eller computer.

Sp: Hvordan skal jeg beskytte mit privatliv, når jeg bruger mine Logitech-produkter?
SV: Du kan beskytte dit privatliv ved at anvende nogle grundlæggende principper, når du bruger din computer og dine Logitech-produkter.

Først og fremmest skal du følge de sundhedsmæssige sikkerhedsforanstaltninger, der findes på et typisk kontor eller hjem, og lad aldrig fremmede fysisk få adgang til eller manipulere med din computer eller inputenheder.

For det andet er alle vores Unifying-enheder sikkert parret med en trådløs modtager, når de produceres, og parring er ikke påkrævet derefter. Evnen til at parre en anden, tredje eller fjerde enhed til en enkelt USB-modtager er dog en af fordelene ved vores Unifying trådløs teknologi, så vi muliggør den via et simpelt stykke software. Hvis du skal parre en enhed med en Unifying-modtager, kan denne procedure give en hacker – med det rigtige udstyr og de nødvendige færdigheder og der er fysisk tæt på din computer – mulighed for at "snuse" til krypteringsnøglen. Så denne korte procedure bør kun udføres, når det er helt sikkert, at der ikke er nogen mistænkelig aktivitet inden for 10 m / 30 fod.

Bemærk: hvis din enhed holder op med at fungere, skyldes dette aldrig parring med USB-modtageren, så genparring er ikke nødvendig for fejlfinding.

Sp: Hvilke Logitech-produkter er berørt af disse rapporter?
SV: Mus og tastaturer ved hjælp af Logitechs Unifyings trådløse protokol. Du kan identificere Unifying-produkter via det lille orange logo på den trådløse USB-modtager med en form på seks punkter. Spotlight-præsentationsfjernbetjeningen og R500-præsentatoren er også påvirket.

Derudover er Logitechs Lightspeed-gamingprodukter bekymret over sårbarhederne ved kryptering af krypteringsnøgler.

Sp: Kan jeg installere en firmwareopgradering for at beskytte mig mod dette? Hvordan?
SV: To af sårbarhederne (kendt som CVE-2019-13053 og CVE-2019-13052) ville være vanskelige for en hacker at udnytte og kan effektivt beskyttes mod ved at anvende ovenstående retningslinjer for databeskyttelse. Vi løser ikke disse med en firmwareopdatering, da dette ville have en negativ indvirkning på samarbejdsevnen med andre Unifying-enheder.

Vi tager dog sikkerhed meget alvorligt, og vi anbefaler vores kunder at opdatere deres trådløse Unifying USB-modtagere til den nyeste firmware. De firmwareopdateringer, der blev frigivet siden august 2019, adresserer den tredje sårbarhed (kendt som CVE-2019-13054/55), og den nyeste firmwareversion kan downloades her.

For pc- og Mac-brugere: Du kan downloade et simpelt opdateringsværktøj her

For Linux-brugere: Vi distribuerer den opdaterede firmware via Linux Vendor Firmware Service på https://fwupd.org/

Vores virksomhedskunder kan downloade et centralt implementerbart værktøj til pc her:
Download script-DFU-værktøj