In 2019 benaderde een beveiligingsonderzoeker Logitech over drie mogelijke kwetsbaarheden met betrekking tot de Unifying-ontvanger van Logitech. We hebben sindsdien met hem gecommuniceerd om zijn beweringen te beoordelen en waar nodig aan te pakken.

We willen u eerst geruststellen dat dit onderzoek in een gecontroleerde omgeving is uitgevoerd. De kwetsbaarheden vereisen speciale apparatuur en vaardigheden, evenals de nabijheid van - of zelfs fysieke toegang tot - de computer of het apparaat van het doelwit.

Mensen die bezorgd zijn over hun privacy zouden kennis moeten nemen van de beveiligingsmaatregelen voor computers die worden beschreven in de Q&A hieronder, en deze moeten toepassen.

Eén van de kwetsbaarheden is verholpen door firmware-updates en u kunt de nieuwste versie hier downloaden.

We nemen de privacy van onze klanten zeer serieus en deze bevindingen helpen ons onze producten voortdurend te verbeteren.

V: Wat zijn de kwetsbaarheden die de beveiligingsonderzoeker heeft gemeld?
A: Er zijn drie mogelijke kwetsbaarheden gemeld. Twee ervan hebben betrekking op het extraheren van de coderingssleutel die de communicatie tussen het Logitech-apparaat en de Logitech Unifying USB-ontvanger beveiligt. De derde heeft betrekking op het doorbreken van de barrières voor het injecteren van toetsaanslagen tussen het apparaat en de USB-ontvanger.

Iemand die dit probeert na te bootsen, heeft expertise en speciale apparatuur nodig en moet zich binnen een straal van 10 meter bevinden. Deze persoon moet handelen tijdens de paar seconden dat iemand een apparaat opnieuw aan de Unifying-ontvanger koppelt, of fysieke toegang nodig hebben tot het apparaat of de computer van het doelwit.

V: Hoe kan ik mijn privacy beschermen bij het gebruik van mijn Logitech-producten?
A: U kunt uw privacy beschermen door enkele basisprincipes toe te passen bij het gebruik van uw computer en Logitech-producten.

Volg in de eerste plaats de voor de hand liggende veiligheidsmaatregelen die ook in een gewoon kantoor of huis gelden, en laat nooit toe dat vreemden fysiek toegang krijgen tot uw computer of invoerapparatuur.

Ten tweede zijn al onze Unifying-apparaten veilig gekoppeld aan een draadloze ontvanger wanneer ze worden geproduceerd en is koppeling daarna niet nodig. De mogelijkheid om een tweede, derde of vierde apparaat aan één USB-ontvanger te koppelen, is echter een van de voordelen van onze draadloze Unifying-technologie. Als u een apparaat aan een Unifying-ontvanger moet koppelen, kan een hacker met de juiste apparatuur en vaardigheden en die fysiek in de buurt van uw computer is, de coderingssleutel 'snuiven'. Voer deze korte procedure dus alleen uit als u absoluut zeker weet dat er geen verdachte activiteit is binnen een straal van 10 meter.

Opmerking: Als uw apparaat niet meer werkt, komt dat nooit doordat de koppeling met de USB-ontvanger is verbroken. Opnieuw koppelen is dus niet nodig om problemen op te lossen.

V: Om welke Logitech-producten gaat het in deze rapporten?
A: Muizen en toetsenborden die gebruikmaken van het draadloze Unifying-protocol van Logitech. U kunt Unifying-producten herkennen aan een klein oranje logo op de draadloze USB-ontvanger: een vorm met zes punten. De Spotlight-afstandsbediening voor presentaties en de R500-presenter worden ook beïnvloed.

Bovendien hebben de Lightspeed-gamingproducten van Logitech te lijden onder de kwetsbaarheden in verband met de extractie van encryptiesleutels.

V: Kan ik een firmware-upgrade installeren om me hiertegen te beschermen? Hoe?
A: Twee van de kwetsbaarheden (bekend als CVE-2019-13053 en CVE-2019-13052) zijn voor een aanvaller moeilijk te misbruiken en kunnen effectief worden beschermd door de bovenstaande privacyrichtlijnen voor computers toe te passen. We verhelpen deze problemen niet met een firmware-update, omdat dit een negatieve invloed heeft op de interoperabiliteit met andere Unifying-apparaten.

We nemen beveiliging echter zeer serieus en we raden onze klanten aan hun draadloze Unifying USB-ontvangers bij te werken naar de nieuwste firmware. De firmware-updates uitgebracht sinds augustus 2019 pakken de derde kwetsbaarheid aan (bekend als CVE-2019-13054/55) en de meest recente firmwareversie kunt u hierdownloaden.

Voor pc- en Mac-gebruikers: u kunt hier een eenvoudige updatetool downloaden

Voor Linux-gebruikers: we distribueren de bijgewerkte firmware via de Linux Vendor Firmware Service op https://fwupd.org/

Onze zakelijke klanten kunnen hier een centraal inzetbare tool voor pc downloaden:
Script DFU Tool downloaden