Vuonna 2019 muuan turvallisuustutkija otti yhteyttä Logitechiin koskien kolmea mahdollista haavoittuvuutta, jotka liittyvät Logitechin Unifying-vastaanottimeen. Olemme olleet siitä lähtien yhteydessä häneen arvioidaksemme hänen väitteitään ja ratkaistaksemme mahdolliset ongelmat.

Haluamme ensinnäkin vakuuttaa asiakkaillemme, että tutkimukset suoritettiin valvotussa ympäristössä. Haavoittuvuuksien hyväksikäyttö edellyttää erityisvälineitä ja -taitoja sekä läheisyyttä kohteen tietokoneeseen tai laitteeseen tai jopa mahdollisuutta käyttää sitä fyysisesti.

Tietosuojastaan huolestuneiden käyttäjien kannattaa tutustua alla käsiteltyihin tietoturvaohjeisin ja noudattaa niitä.

Yksi haavoittuvuuksista on korjattu laiteohjelmistopäivityksissä, ja uusin versio on ladattavissa täällä.

Suhtaudumme asiakkaiden tietosuojaan erittäin vakavasti, ja löydösten avulla voimme jatkuvasti parantaa tuotteitamme.

K: Mistä haavoittuvuuksista turvallisuustutkija on ilmoittanut?
V: Meille ilmoitettiin kolmesta mahdollisesta haavoittuvuudesta. Kaksi niistä liittyy Logitech-laitteen ja Logitech Unifying -USB-vastaanottimen välistä viestintää suojaavan salausavaimen purkamiseen. Kolmas koskee laitteen ja USB-vastaanottimen välisen näppäinpainallusten syöttämisen esteiden poistamista.

Jotta joku pystyisi hyödyntämään näitä haavoittuvuuksia, hänellä pitäisi olla asiantuntemusta ja erityislaitteita ja hänen pitäisi olla 10 metrin säteellä laitteesta. Hänen pitäisi toimia niiden muutaman sekunnin aikana, kun käyttäjä muodostaa pariliitosta laitteen ja Unifying-vastaanottimen välillä uudelleen, tai hänen pitäisi päästä sormeilemaan käyttäjän laitetta tai tietokonetta suoraan.

K: Miten minun kannattaa suojata yksityisyyttäni käyttäessäni Logitech-tuotteita?
V: Voit suojata yksityisyyttäsi noudattamalla tiettyjä perusperiaatteita käyttäessäsi tietokonetta ja Logitech-tuotteita.

Noudata ensinnäkin terveen järjen mukaisia turvatoimia, kuten yleensäkin toimistoissa tai kotona, äläkä koskaan anna vieraiden käyttää tietokonettasi tai syöttölaitteitasi.

Toiseksi kaikki Unifying-laitteemme on turvallisesti pariliitetty langattomaan vastaanottimeen jo toimitettaessa, eikä pariliitosta tarvitse sen jälkeen muodostaa. Toisen, kolmannen tai neljännen laitteen pariliittäminen yhteen USB-vastaanottimeen on kuitenkin yksi langattoman Unifying-tekniikan eduista, joten mahdollistamme sen yksinkertaisen ohjelmiston avulla. Jos sinun on pariliitettävä laite Unifying-vastaanottimeen, tämä toimenpiteen aikana hakkerilla, jolla on oikeat laitteet ja taidot ja joka on fyysisesti lähellä tietokonettasi, voi olla tilaisuus päästä selville salausavaimesta. Tämä nopea toimenpide tule siis tehdä vain, kun olet täysin varma, että 10 metrin (30 jalan) säteellä ei ole epäilyttävää toimintaa.

Huomaa: jos laitteesi lakkaa toimimasta, se ei johdu USB-vastaanottimen pariliitoksen katkeamisesta, joten pariliitosta ei tarvitse muodostaa uudelleen vianmäärityksen yhteydessä.

K: Mitä Logitechin tuotteita nämä raportit koskevat?
V: Hiiriä ja näppäimistöjä, jotka käyttävät Logitechin langatonta Unifying-protokollaa. Unifying-tuotteet voi tunnistaa langattoman USB-vastaanottimen pienestä oranssinvärisestä logosta, jossa on kuudesta pisteestä muodostuva kuvio. Raportit koskevat myös Spotlight-esityskaukosäädintä ja R500-esityslaitetta.

Lisäksi Logitechin Lightspeed-pelituotteissa esiintyy salausavainten purkamiseen liittyviä haavoittuvuuksia.

K: Voinko suojautua haavoittuvuuksilta asentamalla laiteohjelmistopäivityksen? Miten?
V: Raportoiduista haavoittuvuuksista kahta (tunnetaan nimillä CVE-2019-13053 ja CVE-2019-13052) on vaikea hyödyntää, ja niiltä voi suojautua tehokkaasti noudattamalla edellä kuvattuja tietoturvaohjeita. Emme aio korjata näitä haavoittuvuuksia laiteohjelmistopäivityksellä, sillä se vaikuttaisi kielteisesti yhteentoimivuuteen muiden Unifying-laitteiden kanssa.

Suhtaudumme kuitenkin tietoturvaan erittäin vakavasti ja suosittelemme asiakkaillemme, että langattomiin Unifying-USB-vastaanottimiimme päivitetään uusin laiteohjelmisto. Elokuun 2019 jälkeen julkaistut laiteohjelmistopäivitykset korjaavat kolmannen haavoittuvuuden (CVE-2019-13054/55). Uusimman laiteohjelmistoversion voi ladata täältä.

PC- ja Mac-käyttäjät: Yksinkertaisen päivitystyökalun voi ladata täältä

Linux-käyttäjät: Jakelemme päivitetyn laiteohjelmiston Linux Vendor -laiteohjelmistopalvelun kautta osoitteessa https://fwupd.org/

Yritysasiakkaamme voivat ladata PC-tietokoneille tarkoitetun, keskitetysti käyttöön otettavan työkalun täältä:
Lataa Script DFU -työkalu