Nel 2019, un ricercatore in materia di sicurezza ha contattato Logitech in merito a tre potenziali vulnerabilità relative al ricevitore Unifying di Logitech. Da allora siamo in contatto con lui per valutare le sue affermazioni e affrontarle, se necessario.

Desideriamo innanzitutto assicurarvi che questa ricerca è stata condotta in un ambiente controllato. Le vulnerabilità richiederebbero attrezzature e abilità speciali, così come la vicinanza o anche l’accesso fisico al computer o al dispositivo del bersaglio.

Le persone che sono preoccupate per la propria privacy dovrebbero prendere nota e applicare le misure di sicurezza informatica descritte nelle domande e risposte di seguito.

Una delle vulnerabilità è stata risolta con aggiornamenti del firmware ed è possibile scaricare la versione più recente qui.

Prendiamo molto sul serio la privacy dei nostri clienti e questi risultati ci aiutano a migliorare continuamente i nostri prodotti.

D: Quali sono le vulnerabilità segnalate dal ricercatore sulla sicurezza?
R: Sono state segnalate tre potenziali vulnerabilità. Due di esse riguardano l'estrazione della chiave di crittografia che protegge la comunicazione tra il dispositivo Logitech e il ricevitore USB Logitech Unifying. La terza riguarda il superamento degli ostacoli all'immissione di pressioni dei tasti tra il dispositivo e il ricevitore USB.

Una persona che cercasse di replicarli avrebbe bisogno di esperienza e attrezzature speciali e di trovarsi entro un raggio di 10 metri. Dovrebbe agire durante i pochi secondi in cui qualcuno sta associando nuovamente un dispositivo al ricevitore Unifying o avrebbe bisogno di accedere fisicamente al dispositivo o al computer del target.

D: Come devo proteggere la mia privacy quando utilizzo i prodotti Logitech?
R: Puoi proteggere la tua privacy applicando alcuni principi di base durante l'utilizzo del computer e dei prodotti Logitech.

Innanzitutto, segui le misure di sicurezza basate sul buon senso sia in un tipico ufficio che a casa e non consentire mai a estranei di accedere fisicamente o manomettere il tuo computer o i tuoi dispositivi di ingresso.

In secondo luogo, tutti i nostri dispositivi Unifying sono associati in modo sicuro a un ricevitore wireless quando vengono prodotti e in seguito non è necessario alcuna associazione. Tuttavia, la possibilità di associare un secondo, terzo o quarto dispositivo a un singolo ricevitore USB è uno dei vantaggi della nostra tecnologia wireless Unifying, che possiamo abilitare tramite un semplice software. Se devi associare un dispositivo a un ricevitore Unifying, questa procedura potrebbe consentire a un hacker, con le attrezzature e le competenze adeguate e fisicamente vicino al tuo computer, di “annusare” la chiave di crittografia. Quindi, questa breve procedura dovrebbe essere eseguita solo quando si è assolutamente certi che non vi siano attività sospette entro 10 m/30 piedi.

Nota: se il dispositivo smette di funzionare, non è mai dovuto a un'interruzione dell'associazione al ricevitore USB, quindi non è necessario riassociare per risolvere i problemi.

D: Quali prodotti Logitech sono interessati da questi report?
R: Mouse e tastiere che utilizzano il protocollo wireless Unifying di Logitech. Puoi identificare i prodotti Unifying da un piccolo logo arancione sul ricevitore USB wireless, caratterizzato da una forma a sei punte. Anche il telecomando per presentazioni Spotlight e il presentatore R500 ne risentono.

Inoltre, i prodotti di gioco Logitech Lightspeed sono interessati dalle vulnerabilità di estrazione della chiave di crittografia.

D: Posso installare un aggiornamento del firmware per proteggermi da questo problema? Come posso farlo?
R: Due delle vulnerabilità (note come CVE-2019-13053 e CVE-2019-13052) sarebbero difficili da sfruttare per un utente malintenzionato e puoi proteggerti efficacemente applicando le linee guida sulla privacy informatica di cui sopra. Non affronteremo questi problemi con un aggiornamento del firmware poiché ciò influirebbe negativamente sull'interoperabilità con altri dispositivi Unifying.

Tuttavia, prendiamo molto sul serio la sicurezza e consigliamo ai nostri clienti di aggiornare i loro ricevitori USB Unifying wireless al firmware più recente. Gli aggiornamenti del firmware rilasciati da agosto 2019 risolvono la terza vulnerabilità (nota come CVE-2019-13054/55). L'ultima versione del firmware può essere scaricata qui.

Per utenti PC e Mac: puoi scaricare un semplice strumento per l’aggiornamento qui

Per utenti Linux: il firmware aggiornato verrà distribuito tramite il Linux Vendor Firmware Service all'indirizzo https://fwupd.org/

I nostri clienti aziendali possono scaricare uno strumento implementabile a livello centrale per PC qui:
Scarica lo strumento script DFU