Το 2019, ένας ερευνητής ασφάλειας επικοινώνησε με τη Logitech για τρεις πιθανές ευπάθειες που σχετίζονταν με τον δέκτη Logitech Unifying. Από τότε, είμαστε σε επικοινωνία μαζί του για να εκτιμήσουμε τους ισχυρισμούς του και να αντιμετωπίσουμε τα προβλήματα, αν αυτό είναι απαραίτητο.

Θα θέλαμε αρχικά να σας διαβεβαιώσουμε ότι η συγκεκριμένη έρευνα έγινε σε ελεγχόμενο περιβάλλον. Για την εκμετάλλευση των εν λόγω ευπαθειών απαιτείται ειδικός εξοπλισμός και ικανότητες, ενώ ο κακόβουλος χρήστης θα πρέπει να βρίσκεται κοντά — ή ακόμη και να έχει πρόσβαση — στον υπολογιστή ή τη συσκευή του στόχου.

Όσοι ανησυχούν για το απόρρητό τους θα πρέπει να λάβουν υπόψη και να εφαρμόσουν τα μέτρα ασφάλειας για υπολογιστικά συστήματα που περιγράφονται στην παρακάτω ενότητα ερωτήσεων και απαντήσεων.

Μία από τις ευπάθειες αντιμετωπίστηκε με ενημερώσεις firmware και μπορείτε να κατεβάσετε την πιο πρόσφατη έκδοση από εδώ.

Λαμβάνουμε πολύ σοβαρά το απόρρητο των πελατών μας και τα συγκεκριμένα ευρήματα μας βοηθούν να βελτιώνουμε διαρκώς τα προϊόντα μας.

Ε: Ποιες ευπάθειες αναφέρθηκαν από τον ερευνητή ασφάλειας;
Α: Αναφέρθηκαν τρεις πιθανές ευπάθειες. Δύο από αυτές σχετίζονται με την εξαγωγή του κλειδιού κρυπτογράφησης που προστατεύει την επικοινωνία μεταξύ της συσκευής Logitech και του δέκτη USB Logitech Unifying. Η τρίτη σχετίζεται με την παράκαμψη των φραγμών που αποτρέπουν επιθέσεις τύπου keystroke injection και οι οποίοι υπάρχουν μεταξύ της συσκευής και του δέκτη USB.

Ένας χρήστης που προσπαθεί να εκμεταλλευτεί αυτές τις ευπάθειες πρέπει να έχει εξειδίκευση και ειδικό εξοπλισμό, καθώς και να βρίσκεται σε απόσταση 10 m από τη συσκευή. Θα πρέπει να κάνει τις κατάλληλες ενέργειες μέσα στα λίγα δευτερόλεπτα που διαρκεί η εκ νέου σύζευξη μιας συσκευής με τον δέκτη Unifying ή θα πρέπει να έχει πρόσβαση στη συσκευή ή τον υπολογιστή του στόχου.

Ε: Πώς μπορώ να προστατέψω το απόρρητό μου κατά τη χρήση των προϊόντων Logitech;
Α: Μπορείτε να προστατέψετε το απόρρητό σας, εφαρμόζοντας ορισμένες βασικές αρχές κατά τη χρήση του υπολογιστή σας και των προϊόντων Logitech.

Πρώτα από όλα, εφαρμόστε τα συνήθη μέτρα ασφαλείας που υπάρχουν σε ένα τυπικό γραφείο ή σπίτι και μην επιτρέπετε σε κανέναν άγνωστο να αποκτά πρόσβαση ή να πειράζει τον υπολογιστή ή τις συσκευές εισόδου.

Δεύτερον, όλες οι συσκευές Unifying είναι συζευγμένες με ασφάλεια με έναν ασύρματο δέκτη κατά τη διαδικασία παραγωγής τους και δεν απαιτείται σύζευξη μετά. Ωστόσο η δυνατότητα σύζευξης μιας δεύτερης, τρίτης ή τέταρτης συσκευής με έναν δέκτη USB αποτελεί ένα από τα πλεονεκτήματα της ασύρματης τεχνολογίας Unifying και για αυτόν τον λόγο την ενεργοποιούμε μέσω ενός απλού λογισμικού. Εάν πρέπει να κάνετε σύζευξη μιας συσκευής με έναν δέκτη Unifying, η διαδικασία θα μπορούσε να επιτρέψει σε έναν κακόβουλο χρήστη – ο οποίος θα πρέπει να έχει τον κατάλληλο εξοπλισμό και ικανότητες και να βρίσκεται κοντά στον υπολογιστή σας – να ανακαλύψει το κλειδί κρυπτογράφησης. Επομένως, αυτή η σύντομη διαδικασία θα πρέπει να πραγματοποιείται όταν είστε απολύτως σίγουροι ότι δεν υπάρχει ύποπτη δραστηριότητα σε απόσταση 10 m/30 ft.

Σημείωση: Εάν η συσκευή σας σταματήσει να λειτουργεί, αυτό δεν οφείλεται ποτέ στη διακοπή της σύζευξης με τον δέκτη USB, επομένως δεν είναι απαραίτητη η εκ νέου σύζευξη για την αντιμετώπιση του προβλήματος.

Ε: Ποια προϊόντα Logitech αφορούν οι συγκεκριμένες αναφορές;
Α: Ποντίκια και πληκτρολόγια που χρησιμοποιούν το πρωτόκολλο ασύρματης σύνδεσης Unifying της Logitech. Μπορείτε να αναγνωρίσετε τα προϊόντα Unifying από ένα μικρό πορτοκαλί λογότυπο που υπάρχει στον ασύρματο δέκτη USB, το οποίο απεικονίζει ένα σχήμα με έξι ακμές. Επηρεάζονται επίσης τα τηλεχειριστήρια παρουσιάσεων Spotlight και R500.

Επιπλέον, τα προϊόντα για παιχνίδια με τεχνολογία Lightspeed της Logitech επηρεάζονται από τις ευπάθειες που αφορούν την εξαγωγή του κλειδιού κρυπτογράφησης.

Ε: Μπορώ να εγκαταστήσω μια αναβάθμιση firmware για να προστατευτώ από τον κίνδυνο; Με ποιον τρόπο;
Α: Δύο από τις ευπάθειες (γνωστές ως CVE-2019-13053 και CVE-2019-13052) είναι δύσκολο να τις εκμεταλλευτεί κάποιος κακόβουλος χρήστης και μπορείτε να προστατευτείτε αποτελεσματικά, εφαρμόζοντας τις παραπάνω οδηγίες για το απόρρητο των υπολογιστικών συστημάτων. Δεν πρόκειται να αντιμετωπιστούν με κάποια ενημέρωση firmware επειδή αυτό θα είχε αρνητικές επιπτώσεις στη διαλειτουργικότητα με άλλες συσκευές Unifying.

Ωστόσο, λαμβάνουμε πολύ σοβαρά τα θέματα που αφορούν την ασφάλεια και συνιστούμε στους πελάτες μας να ενημερώσουν τους ασύρματους δέκτες USB Unifying με το πιο πρόσφατο firmware. Οι ενημερώσεις firmware που κυκλοφορούν από τον Αύγουστο του 2019 αντιμετωπίζουν την τρίτη ευπάθεια (γνωστή και ως CVE-2019-13054/55) και μπορείτε να κατεβάσετε την πιο πρόσφατη έκδοση firmware από εδώ.

Για χρήστες PC και Mac: Μπορείτε να κατεβάσετε ένα απλό εργαλείο ενημέρωσης από εδώ

Για χρήστες Linux: Θα διανείμουμε το ενημερωμένο firmware μέσω του Linux Vendor Firmware Service στη διεύθυνση https://fwupd.org/

Οι εταιρικοί πελάτες μπορούν να κατεβάσουν ένα εργαλείο κεντρικής ανάπτυξης για PC από εδώ:
Λήψη του εργαλείου Script DFU