En 2019, un investigador de cuestiones de seguridad notificó a Logitech tres posibles vulnerabilidades relacionadas con el receptor Unifying de Logitech. Hemos mantenido la comunicación con él para evaluar sus afirmaciones y proceder según sea necesario.

En primer lugar, queremos dejar claro que la investigación se realizó en un entorno controlado. La explotación de las vulnerabilidades requeriría equipo y habilidades especiales, así como la proximidad (o incluso el acceso físico) a la computadora o el dispositivo en cuestión.

Las personas preocupadas por su privacidad deben tener en cuenta y aplicar las medidas de seguridad informática descritas en las preguntas frecuentes más adelante.

Una de las vulnerabilidades se solucionó con actualizaciones de firmware y la versión más reciente está disponible para descargar desde aquí.

Nos tomamos muy en serio la privacidad de nuestros clientes y estas constataciones nos ayudan a mejorar continuamente nuestros productos.

P: ¿Cuáles son las vulnerabilidades notificadas por el investigador de seguridad?
R: Se notificaron tres posibles vulnerabilidades. Dos de ellas están relacionadas con la extracción de la clave de cifrado que protege la comunicación entre el dispositivo Logitech y el receptor USB Logitech Unifying. La tercera se relaciona con la superación de los obstáculos para la inyección de acción de teclado entre el dispositivo y el receptor USB.

Una persona que intente reproducirlas necesitaría experiencia y un equipo especial, y tendría que encontrarse en un radio de acción de 10 metros. Esa persona tendría que actuar durante los pocos segundos en que alguien esté volviendo a emparejar un dispositivo con el receptor Unifying o necesitaría acceso físico al dispositivo o la computadora en cuestión.

P: ¿Cómo debo proteger mi privacidad al usar mis productos Logitech?
R: Puedes proteger tu privacidad aplicando algunos principios básicos al usar tu computadora y tus productos Logitech.

En primer lugar, sigue las medidas de seguridad lógicas en una oficina u hogar típico, y nunca permitas que personas ajenas usen tu computadora o tus dispositivos de ingreso de datos.

En segundo lugar, todos nuestros dispositivos Unifying se emparejan de forma segura a un receptor inalámbrico durante su producción, por lo que no es necesario emparejarlos posteriormente. Sin embargo, la posibilidad de emparejar un segundo, tercer o cuarto dispositivo a un solo receptor USB es una de las ventajas de nuestra tecnología inalámbrica Unifying, por lo que la activamos a través de un software sencillo. Si tienes que emparejar un dispositivo a un receptor Unifying, este procedimiento podría permitir que un hacker o pirata informático, con el equipo y las habilidades relevantes y físicamente cerca de tu computadora, "rastree" la clave de cifrado. Por lo tanto, al realizar ese breve procedimiento es esencial estar absolutamente seguros de que no hay actividad sospechosa en un radio de 10 m (30 ft).

Nota: Si tu dispositivo deja de funcionar, nunca se debe a una pérdida del emparejamiento con el receptor USB, por lo que no es necesario volver a emparejarlo para solucionar el problema.

P: ¿A qué productos de Logitech afectan las vulnerabilidades notificadas?
R: A mouse y teclados con el protocolo inalámbrico Unifying de Logitech. Los productos Unifying se identifican por un pequeño logo anaranjado en el receptor USB inalámbrico, con una forma compuesta por seis puntos. Otros productos afectados son el remoto para presentaciones Spotlight y el dispositivo de presentación R500.

Además, las vulnerabilidades de extracción de claves de cifrado conciernen a los productos de juego Lightspeed de Logitech.

P: ¿Puedo instalar una actualización de firmware para protegerme contra esto? ¿Cómo?
R: Dos de las vulnerabilidades (conocidas como CVE-2019-13053 y CVE-2019-13052) serían difíciles de explotar por parte de un hacker y se puede conseguir protección eficaz siguiendo las directrices de privacidad detalladas anteriormente. No se incluirán en una actualización de firmware, ya que esto afectaría negativamente a la interoperabilidad con otros dispositivos Unifying.

Sin embargo, nos tomamos la seguridad muy en serio y recomendamos a nuestros clientes que actualicen sus receptores USB inalámbricos Unifying al firmware más reciente. Las actualizaciones de firmware publicadas desde agosto de 2019 abordan la tercera vulnerabilidad (conocida como CVE-2019-13054/55) y la versión de firmware más reciente se puede descargar desde aquí.

Para usuarios de PC y Mac: se puede descargar una sencilla herramienta de actualización desde aquí

Para usuarios de Linux: distribuiremos el firmware actualizado a través del servicio de firmware del proveedor de Linux en https://fwupd.org/

Nuestros clientes empresariales pueden descargar una herramienta de implementación centralizada para PC desde aquí:
Descargar la herramienta Script DFU