Im Jahr 2019 wandte sich ein Sicherheitsforscher an Logitech, um drei potenzielle Schwachstellen beim Logitech Unifying Empfänger zu melden. Wir stehen seitdem mit ihm in Verbindung, um seine Behauptungen auszuwerten und gegebenenfalls die nötigen Maßnahmen zu ergreifen.

Wir möchten Ihnen zunächst versichern, dass diese Untersuchungen in einer kontrollierten Umgebung durchgeführt wurden. Die Ausnutzung der Schwachstellen würde Spezialausrüstung und -kenntnisse erfordern. Zudem müsste sich der Angreifer in der Nähe des Zielcomputers befinden oder sogar physischen Zugang zu ihm haben.

Falls Sie Bedenken wegen Ihrer Privatsphäre haben, sollten Sie die in den Fragen und Antworten unten beschriebenen Sicherheitsmaßnahmen für Computer beachten und anwenden.

Eine der Schwachstellen wurde durch Firmware-Updates behoben. Sie können die neueste Version hierherunterladen.

Wir nehmen den Schutz der Privatsphäre unserer Kunden sehr ernst und diese Erkenntnisse helfen uns dabei, unsere Produkte kontinuierlich zu verbessern.

F: Welche Schwachstellen hat der Sicherheitsforscher gemeldet?
A: Drei potenzielle Sicherheitslücken wurden gemeldet. Zwei davon beziehen sich auf die Extraktion des Verschlüsselungsschlüssels, der die Kommunikation zwischen dem Logitech Gerät und dem Logitech Unifying USB-Empfänger gewährleistet. Die dritte betrifft die Überwindung der Hindernisse für Keystroke Injection zwischen dem Gerät und dem USB-Empfänger.

Ein Versuch, diese zu replizieren, benötigt Fachwissen und Spezialausrüstung, zudem muss sich der Angreifer innerhalb einer Reichweite von 10 Metern befinden. Diese Person müsste innerhalb weniger Sekunden agieren, während ein Gerät erneut mit dem Unifying Empfänger gepairt wird, oder sie würde physischen Zugang zum Gerät oder Computer des Opfers benötigen.

F: Wie kann ich meine Privatsphäre schützen, während ich meine Logitech Produkte verwende?
A: Sie können Ihre Privatsphäre schützen, indem Sie bei der Verwendung Ihres Computers und Ihrer Logitech Produkte einige Grundprinzipien anwenden.

Befolgen Sie in erster Linie die Sicherheitsmaßnahmen, die vernünftigerweise in einem typischen Büro oder Zuhause Anwendung finden, und lassen Sie niemals zu, dass Fremde physisch auf Ihren Computer oder Ihre Eingabegeräte zugreifen oder sie manipulieren.

Zweitens werden alle unsere Unifying Geräte bei der Herstellung sicher mit einem kabellosen Empfänger gepairt, und danach ist kein weiteres Pairing mehr erforderlich. Allerdings gehört die Möglichkeit, ein zweites, drittes oder viertes Gerät mit demselben USB-Empfänger zu pairen, zu den Vorteilen unserer kabellosen Unifying Technologie, sodass wir ihre Aktivierung über eine einfache Software ermöglichen. Wenn Sie ein Gerät mit einem Unifying Empfänger pairen müssen, könnte ein Hacker – mit der richtigen Ausrüstung und den entsprechenden Kenntnissen, der sich zudem physisch in der Nähe Ihres Computers befindet – den Verschlüsselungsschlüssel „ausspionieren“. Daher sollte dieses kurze Verfahren nur durchgeführt werden, wenn Sie absolut sicher sind, dass keine verdächtigen Aktivitäten innerhalb von 10 m/30 Fuß stattfinden.

Hinweis: Wenn Ihr Gerät nicht mehr funktioniert, liegt dies nie an einem Verlust der Pairing-Verbindung zum USB-Empfänger. Daher ist zur Fehlerbehebung kein erneutes Pairing erforderlich.

F: Welche Logitech Produkte sind von diesen Berichten betroffen?
A: Mäuse und Tastaturen mit dem kabellosen Unifying Protokoll von Logitech. Unifying Produkte erkennen Sie an einem kleinen orangefarbenen Logo am kabellosen USB-Empfänger mit einer Form mit sechs Punkten. Der Spotlight Presenter und der R500 Presenter sind ebenfalls betroffen.

Darüber hinaus sind die Lightspeed Gaming-Produkte von Logitech von den Schwachstellen bei der Extraktion des Verschlüsselungsschlüssels betroffen.

F: Kann ich ein Firmware-Upgrade installieren, um mich dagegen zu schützen? Wie?
A: Zwei der Schwachstellen (bekannt als CVE-2019-13053 und CVE-2019-13052) sind für einen Angreifer nur schwer auszunutzen und die oben beschriebenen Anweisungen zur Computersicherheit bieten einen wirksamen Schutz. Wir werden diese nicht mit einem Firmware-Update beheben, da dies die Interoperabilität mit anderen Unifying Geräten beeinträchtigen würde.

Sicherheit ist uns jedoch äußerst wichtig und wir empfehlen daher unseren Kunden, ihre kabellosen Unifying USB-Empfänger auf die neueste Firmware zu aktualisieren. Die Firmware-Updates, die seit August 2019 veröffentlicht wurden, beheben die dritte Schwachstelle (bekannt als CVE-2019-13054/55) und Sie können die neueste Firmware-Versionhier herunterladen.

Für PC- und Mac-Benutzer: Sie können ein einfaches Update-Tool hier herunterladen

Für Linux -Benutzer: Wir werden die aktualisierte Firmware über den Linux Vendor Firmware Service unter https://fwupd.org/ verteilen.

Unsere Unternehmenskunden können ein zentral einsetzbares Tool für den PC hier herunterladen:
Script DFU Tool herunterladen