2019-ben egy biztonsági kutató megkereste a Logitechet a Logitech Unifying vevőegységgel kapcsolatos három lehetséges sebezhetőséggel kapcsolatban. Azóta is kapcsolatban állunk vele, hogy értékeljük a felvetéseit, és szükség szerint foglalkozzunk velük.
Először is szeretnénk megnyugtatni, hogy ez a kutatás ellenőrzött környezetben zajlott. A sérülékenységekhez speciális felszerelésre és készségekre, valamint a célpont számítógépének vagy eszközének közelségére - vagy akár fizikai hozzáférésre - lenne szükség.
Azoknak, akik számára fontos adataik védelme, érdemes figyelembe venniük és alkalmazniuk az alábbi Kérdések és válaszokban szereplő informatikai biztonsági intézkedéseket.
Az egyik sebezhetőséget belső vezérlőprogram-frissítésekkel orvosoltuk, és a legújabb verzió letölthető innen.
Nagyon komolyan vesszük ügyfeleink adatainak védelmét, és ezek a felismerések segítenek nekünk termékeink folyamatos fejlesztésében.
K.: Melyek a biztonsági kutató által bejelentett sebezhetőségek?
V.: Három potenciális sebezhetőséget jelentettek. Ezek közül kettő a Logitech eszköz és a Logitech Unifying USB-s vevőegység közötti kommunikációt biztosító titkosítási kulcs kinyerésével kapcsolatos. A harmadik az eszköz és az USB-vevőegység közötti beírásimitáció akadályainak leküzdésére vonatkozik.
Ha valaki megpróbálná ezeket a módszereket lemásolni, annak szakértelemre és speciális felszerelésre lenne szüksége, valamint 10 méteres körzetben kellene tartózkodnia. Abban a néhány másodpercben kellene cselekednie, amikor valaki újrapárosít egy eszközt a Unifying vevőegységgel, vagy fizikai hozzáférésre lenne szüksége a célpont eszközéhez vagy számítógépéhez.
K.: Hogyan védjem személyes adataimat a Logitech termékek használata során?
V.: Számítógépe és Logitech termékei használata során néhány alapelv alkalmazásával megvédheti személyes adatait.
Mindenekelőtt kövesse a szokásos irodai vagy otthoni környezetre vonatkozó biztonsági intézkedéseket, és soha ne engedje, hogy idegenek fizikailag hozzáférjenek a számítógépéhez vagy beviteli eszközeihez, illetve hogy azokkal babráljanak.
Másrészt minden Unifying eszközünk a gyártást követően biztonságosan párosításra kerül egy vezeték nélküli vevőegységgel, és ezt követően nincs szükség további párosításra. A második, harmadik vagy negyedik eszköz egyetlen USB-vevőegységgel való párosításának képessége azonban a Unifying vezeték nélküli technológiánk egyik előnye, ezért ezt egy egyszerű szoftveren keresztül tesszük elérhetővé. Ha egy eszközt párosítania kell a Unifying vevőegységgel, ez az eljárás lehetővé teheti egy hacker számára – a megfelelő felszerelés és készségek birtokában, valamint a számítógép közelében tartózkodva –, hogy „kiszimatolja" a titkosítási kulcsot. Tehát ezt a rövid eljárást csak akkor szabad elvégezni, ha teljesen biztosak vagyunk abban, hogy 10 méteres (30 láb) körzetben nincs gyanús tevékenység.
Megjegyzés: ha eszköze nem működik, ez soha nem az USB-vevőegységgel való párosítás megszűnése miatt történik, így a hibaelhárításhoz nincs szükség újrapárosításra.
K.: Mely Logitech termékeket érintik ezek a jelentések?
V.: A Logitech Unifying vezeték nélküli protokollt használó egereket és billentyűzeteket. A Unifying termékeket a vezeték nélküli USB-vevőegységen található kis narancssárga logóról ismerheti fel, ami egy hat pontból álló alakzatot ábrázol. A Spotlight bemutató-távirányítót és az R500 bemutatóeszközt is érintik a fent leírtak.
Emellett a Logitech Lightspeed játékhoz tervezett termékei is érintettek a titkosítási kulcsok kinyerésének sebezhetőségét illetően.
K.: Telepíthetek belső vezérlőprogram-frissítést, hogy megvédjen ezekkel szemben? Hogyan?
V.: A sebezhetőségek közül kettőt (CVE-2019-13053 és CVE-2019-13052 néven ismertek) egy támadó nehezen tudna kihasználni, és a fenti számítástechnikai adatvédelmi irányelvek alkalmazásával hatékonyan védekezhet ellenük. Ezeket nem kezeljük belső vezérlőprogram-frissítéssel, mivel ez negatívan befolyásolná a más Unifying eszközökkel való együttműködést.
Ugyanakkor nagyon komolyan vesszük a biztonságot, és azt javasoljuk ügyfeleinknek, hogy frissítsék vezeték nélküli Unifying USB-vevőegységeiket a legújabb belső vezérlőprogramra. A 2019 augusztusa óta kiadott belső vezérlőprogram-frissítések a harmadik (CVE-2019-13054/55 néven ismert) sebezhetőséget kezelik, és a legfrissebb firmware verzió letölthető innen.
PC és Mac felhasználóknak: Egy egyszerű frissítő segédprogramot letölthet innen
Linux felhasználóknak: A frissített belső vezérlőprogramot a https://fwupd.org/ címen elérhető Linux Vendor Firmware szolgáltatáson keresztül tesszük elérhetővé.
Vállalati ügyfeleink itt tölthetnek le egy központilag telepíthető eszközt PC-re:
DFU eszköz szkriptjének letöltése
Gyakori kérdések
Ehhez a szakaszhoz nincsenek elérhető termékek