Logitech Unifying Receiver Aktualisierung

Neue Firmware verfügbar

Am 28. August 2019 wurde ein Firmware Update für den Unifying-Technologie-USB-Empfänger veröffentlicht. Dieses Update behebt die gemeldete Sicherheitsanfälligkeit bezüglich der Extraktion von Verschlüsselungen über USB (gemeldet als CVE-2019-13054 / 55).

• Für PC- oder Mac-Benutzer: Sie können ein einfaches Update-Tool hier herunterladen: https://support.logi.com/hc/en-us/articles/360035037273
• Unternehmenskunden: Sie können ein zentral bereitgestelltes Tool für den PC hier herunterladen: https://download01.logi.com/web/ftp/pub/techsupport/keyboards/Script%20DFU%20Tool.zip (Mac-Unterstützung wird in Kürze hinzugefügt)

_______________________________________________________________

Anfang des Jahres wandte sich ein Sicherheitsforscher an Logitech, um über drei mögliche Schwachstellen im Zusammenhang mit dem Unifying Receiver von Logitech zu sprechen. Seitdem stehen wir mit dem Sicherheitsforscher in Kontakt, um die auf Basis der Erkenntnisse aufgedeckten Risiken zu bewerten und zu bewältigen. 

Wir möchten zunächst versichern, dass dieser Test in einer kontrollierten Umgebung durchgeführt wurde. Es erfordert spezielle Fähigkeit und eine entsprechende Ausrüstung sowie die Nähe zum Computer bzw. des jeweiligen Gerätes oder sogar den physischen Zugriff auf selbige, um sich durch die Schwachstellen einen Vorteil zu verschaffen.

Nutzer, die um ihre Privatsphäre besorgt sind, sollten die in den folgenden Fragen und Antworten beschriebenen Maßnahmen zum Thema Computersicherheit zur Kenntnis nehmen und anwenden. 

Wir arbeiten aktiv an einem Firmware-Update, das eine der Schwachstellen behebt und erwarten, dass es im August 2019 zum Download verfügbar sein wird. Wir werden diesen Beitrag aktualisieren, sobald das Update zur Verfügung steht!

Wir nehmen die Privatsphäre unserer Kunden sehr ernst. Die Erkenntnisse des Sicherheitsforschers helfen uns, unsere Produkte kontinuierlich zu verbessern.

F: Welche Schwachstellen hat der Sicherheitsforscher gemeldet?

A: Es wurden drei potenzielle Schwachstellen gemeldet. Zwei davon beziehen sich auf die Extraktion des Verschlüsselungcodes (Encryption-Key), der die Kommunikation zwischen dem Logitech-Gerät und dem Logitech Unifying USB-Empfänger sichert. Die dritte bezieht sich auf die Möglichkeit, den zur Verschlüsselung der Kommunikation zwischen dem Gerät und dem USB-Empfänger genutzten Schlüssel auszulesen und Tastatureingaben mitzuschneiden oder zu manipulieren.

Hacker, die versuchen, die Schwachstellen auszunutzen, benötigen Fachwissen und Spezialausrüstung. Außerdem müssen sie sich innerhalb eines Radius von zehn Metern zum Gerät. Zudem müssten Hacker in den wenigen Sekunden handeln, die jemand braucht, um ein Gerät mit dem Unifying-Empfänger zu koppeln oder sie müssten physisch auf das Gerät oder den Computer des Ziels zugreifen. 

F: Wie sollte ich meine Privatsphäre bei der Nutzung meiner Logitech-Produkte schützen?

A: Sie können Ihre Privatsphäre schützen, indem Sie einige grundlegende Regeln befolgen, wenn Sie Ihren Computer und Ihre Logitech-Produkte verwenden. 

Befolgen Sie in erster Linie die allgemeingültigen Sicherheitsmaßnahmen, die im Büro oder Zuhause zum Schutz des Computers zum Einsatz kommen und lassen Sie niemals zu, dass Fremde physisch auf Ihren Computer zugreifen oder Ihre Eingabegeräte manipulieren können, indem Sie beispielsweise den Computer bei Abwesenheit mit einem Passwort sperren. 

Zweitens sind alle unsere Unifying-Geräte sicher mit einem drahtlosen Empfänger gekoppelt, wenn sie produziert werden. Danach ist keine Kopplung mehr erforderlich. Die Möglichkeit, ein zweites, drittes oder viertes Gerät mit einem einzelnen USB-Empfänger zu koppeln, ist jedoch einer der Vorteile unserer Unifying-Funktechnologie, die wir durch eine einfache Software ermöglichen. 

Wenn Sie ein Gerät mit einem Unifying-Empfänger koppeln müssen, kann es dieses Verfahren einem Hacker, der über die richtige Ausrüstung und die richtigen Fähigkeiten verfügt und sich in der Nähe Ihres Computers befindet, ermöglichen, sich den Verschlüsselungscode zu erschleichen. Das kurze Kopplungsverfahren sollte daher nur durchgeführt werden, wenn sichergestellt ist, dass es innerhalb von zehn Metern keine verdächtigen Aktivitäten gibt.

Beachten Sie, dass, wenn Ihr Gerät nicht mehr funktioniert, dies niemals auf einen Verlust der Kopplung mit dem USB-Empfänger zurückzuführen ist. Ein neues Pairing ist nicht erforderlich, um Fehler zu beheben.

F: Welche Logitech-Produkte sind von den Erkenntnissen des Sicherheitsforschers betroffen?

A: Mäuse und Tastaturen, die das drahtlose Protokoll Unifying von Logitech verwenden. Sie können Unifying-Produkte an einem kleinen orangefarbenen Logo auf dem drahtlosen USB-Empfänger erkennen, das die Form eines Sterns aufweist. Die Spotlight-Präsentationsfernbedienung und der R500 Presenter sind ebenfalls betroffen.

Darüber hinaus sind die Lightspeed-Gaming-Produkte von Logitech von den Schwachstellen bei der Extraktion von Verschlüsselungs-Keys betroffen. 

F: Kann ich ein Firmware-Upgrade installieren, um mich davor zu schützen?

A: Zwei der Schwachstellen (bekannt als CVE-2019-13053 und CVE-2019-13052) wären für einen Angreifer schwer ausnutzbar und können durch Anwendung der oben genannten Datenschutzrichtlinien wirksam vermieden werden. Wir werden diese nicht mit einem Firmware-Update behandeln, da dies die Zusammenarbeit mit anderen Unifying-Geräten negativ beeinflussen würde. Wir nehmen die Sicherheit unserer Kunden jedoch sehr ernst und empfehlen unseren Kunden, ihre drahtlosen Unifying USB-Empfänger auf unsere aktuelle Firmware zu aktualisieren. 

• Für PC- oder Mac-Benutzer: Sie können ein einfaches Update-Tool hier herunterladen: https://support.logi.com/hc/en-us/articles/360035037273
• Unternehmenskunden: Hier können Sie ein zentral bereitgestelltes Tool für den PC herunterladen: https://download01.logi.com/web/ftp/pub/techsupport/keyboards/Script%20DFU%20Tool.zip (Mac-Unterstützung wird in Kürze hinzugefügt)
• Linux-Benutzer: Unsere neueste Firmware wurde an den Linux Vendor Firmware Service übergeben und steht unter https://fwupd.org/ zur Verfügung.

Wir arbeiten aktiv an einem weiteren Firmware-Update, das die dritte Schwachstelle beheben wird (bekannt als CVE-2019-13054/55). Wir gehen davon aus, dass diese für alle anwendbaren Geräte im August 2019 verfügbar sein wird. Wir werden diese Seite zu diesem Zeitpunkt mit weiteren Informationen aktualisieren.

English version here