Pada tahun 2019, seorang peneliti keamanan mengunjungi Logitech untuk membahas tiga potensi kerapuhan terkait dengan Receiver Unifying Logitech. Kami telah berkomunikasi dengannya sejak saat itu untuk mengkaji dugaannya dan membahasnya sesuai keperluan.

Kami pertama-tama ingin meyakinkan Anda bahwa riset ini dilakukan dalam lingkungan terkendali. Kerapuhan bisa terjadi jika adanya perlengkapan dan keahlian khusus, serta kedekatan ke, atau bahkan akses fisik ke, komputer atau perangkat target.

Orang-orang yang khawatir dengan privasinya harus mencatat dan menerapkan tindakan keamanan komputasi yang dijelaskan di T&J di bawah ini.

Salah satu kerapuhan telah diatasi dengan pembaruan firmware dan Anda dapat men-download versi terbaru di sini.

Kami sangat memperhatikan privasi pelanggan kami dan temuan ini membantu kami untuk terus menerus meningkatkan produk kami.

T: Apa saja kerapuhan yang dilaporkan oleh peneliti keamanan tersebut?
J: Tiga potensi kerapuhan telah dilaporkan. Dua di antaranya berhubungan dengan pengambilan kunci enkripsi yang mengamankan komunikasi antara perangkat Logitech dan receiver USB Unifying Logitech. Hal ketiga berhubungan dengan menjebol penghalang pada suntikan keystroke antara perangkat dan receiver USB.

Seseorang yang mencoba mereplikasi tindakan ini akan memerlukan kepakaran dan peralatan khusus serta berada dalam jarak kisaran 10 m. Mereka harus bertindak selama hitungan detik saat seseorang sedang pairing ulang perangkatnya ke receiver Unifying atau mereka memerlukan akses fisik ke komputer atau perangkat target.

T: Bagaimana seharusnya saya melindungi privasi saya ketika menggunakan produk Logitech saya?
J: Anda dapat melindungi privasi Anda dengan menerapkan sejumlah prinsip dasar saat menggunakan komputer dan produk Logitech Anda.

Pertama-tama dan paling penting, terapkan langkah keamanan wajar yang ditemukan di kantor atau rumah, dan jangan biarkan orang asing secara fisik mengakses atau mengutak-atik komputer atau perangkat input Anda.

Kedua, semua perangkat Unifying kami sudah pairing dengan sebuah receiver wireless pada saat produksi sehingga tidak memerlukan pairing setelahnya. Namun, kemampuan untuk pairing perangkat kedua, ketiga, atau keempat ke sebuah receiver USB adalah salah satu keunggulan teknologi wireless Unifying kami sehingga kami memungkinkan hal itu melalui sebuah software. Jika Anda harus pairing sebuah perangkat ke sebuah receiver Unifying, prosedur ini dapat memungkinkan peretas, dengan peralatan dan keahlian yang tepat serta berada dekat dengan komputer Anda, untuk “mencium” kunci enkripsi. Jadi prosedur singkat ini seharusnya hanya dilakukan ketika Anda benar-benar yakin tidak ada aktivitas mencurigakan dalam kisaran 10 m/30 kaki di sekitar Anda.

Catatan: Jika perangkat Anda berhenti berfungsi, hal in dapat dipastikan bukan karena hilangnya pairing ke receiver USB sehingga pairing ulang tidak diperlukan untuk memecahkan masalah tersebut.

T: Produk Logitech manakah yang berhubungan dengan laporan ini?
J: Mouse dan keyboard yang menggunakan protokol wireless Unifying Logitech. Anda bisa mengidentifikasi produk Unifying dengan sebuah logo oranye kecil di receiver USB wireless yang berbentuk enam titik. Presentation remote Spotlight dan presenter R500 juga terkena dampaknya.

Selain itu, produk gaming Lightspeed Logitech terpengaruh oleh kerapuhan pengambilan kunci enkripsi.

T: Bisakah saya menginstal peningkatan firmware untuk melindung saya dari ancaman ini? Bagaimana caranya?
J: Dua kerapuhan (yang dikenal sebagai CVE-2019-13053 dan CVE-2019-13052) akan sulit dieksploitasi oleh seorang penyerang dan dapat terlindungi secara efektif dengan menerapkan panduan privasi komputasi di atas. Kami tidak akan mengatasi hal ini dengan pembaruan firmware karena akan berdampak negatif pada kemampuan interoperabilitas dengan perangkat Unifying lainnya.

Namun, kami sangat memperhatikan keamanan dan merekomendasikan kepada pelanggan kami untuk memperbarui receiver USB Unifying wireless-nya dengan firmware terbaru. Pembaruan firmware yang dirilis sejak bukan Agustus 2019 mengatasi kerapuhan ketiga (yang dikenal sebagai CVE-2019-13054/55) dan versi terbaru firmware dapat di-download di sini.

Untuk pengguna PC & Mac: Anda bisa men-download alat pembaruan sederhana di sini

Untuk pengguna Linux: Kami akan mendistribusikan firmware yang diperbarui via Linux Vendor Firmware Service di https://fwupd.org/

Pelanggan perusahaan kami dapat men-download alat yang disebarkan secara terpusat untuk PC di sini:
Download Script DFU Tool