I 2019 henvendte en sikkerhetsforsker seg til Logitech angående tre potensielle sårbarheter relatert til Logitechs Unifying-mottakeren. Vi har vært i kommunikasjon med ham siden for å vurdere påstandene hans og eventuelt håndtere dem.

Vi vil først forsikre deg om at denne undersøkelsen ble utført i et kontrollert miljø. Sårbarhetene krever spesialutstyr og ferdigheter, samt nærhet til – eller fysisk tilgang til – måldatamaskinen eller -enheten.

Personer som er opptatt av personvernet sitt, bør merke seg og anvende datasikkerhetstiltakene som er beskrevet i spørsmål og svar nedenfor.

Et av sikkerhetsproblemene er løst med fastvareoppdateringer, og du kan laste ned den nyeste versjonen her.

Vi tar våre kunders personvern veldig seriøst, og disse funnene hjelper oss med å kontinuerlig forbedre produktene våre.

Spørsmål: Hva slags sårbarhet er rapportert av sikkerhetsforskeren?
SVAR: Tre potensielle sårbarheter ble rapportert. To av dem gjelder utpakking av krypteringsnøkkelen som sikrer kommunikasjonen mellom Logitech-enheten og Logitech Unifying USB-mottakeren. Den tredje handler om å overvinne barrierene mot injeksjon av tastetrykk mellom enheten og USB-mottakeren.

En person som prøver å kopiere disse vil trenge kompetanse og spesialutstyr og være innen 10 meters rekkevidde. De trenger å handle i løpet av de få sekundene når noen parer en enhet til Unifying-mottakeren eller trenger fysisk tilgang til målenheten eller -datamaskinen.

Spørsmål: Hvordan skal jeg beskytte personvernet mitt når jeg bruker Logitech-produktene?
SVAR: Du kan beskytte personvernet ditt ved å følge noen grunnleggende prinsipper når du bruker datamaskinen og Logitech-produktene.

Først og fremst må du følge de fornuftige sikkerhetstiltakene som finnes på et vanlig kontor eller hjemme, og aldri la fremmede få fysisk tilgang til eller tukle med datamaskinen eller inngangsenhetene.

For det andre er alle våre Unifying-enheter paret sikkert til en trådløs mottaker når de produseres og ytterligere paring er ikke nødvendig. Muligheten til å pare en andre, tredje eller fjerde enhet med én enkelt USB-mottaker er imidlertid en av fordelene med Unifying trådløsteknologi, så vi gjør det mulig med en enkelt programvare. Hvis du må pare en enhet med en Unifying-mottaker, kan denne prosedyren gjøre at en hacker – med riktig utstyr og ferdigheter, og fysisk nærhet til datamaskinen – kan «snoke til seg» krypteringsnøkkelen. Denne korte prosedyren skal altså bare utføres når du er helt sikker på at det ikke er mistenkelig aktivitet innen 10 meter.

Merk: Hvis enheten slutter å fungere, skyldes dette aldri paring med USB-mottakeren, så du trenger ikke å pare den for å feilsøke.

Spørsmål: Hvilke Logitech-produkter er berørt av disse rapportene?
SVAR: Mus og tastaturer som bruker Logitechs Unifying trådløsprotokoll. Du kan identifisere Unifying-produkter ved en liten oransje logo på den trådløse USB-mottakeren, med en form med seks punkter. Spotlight presentasjonsfjernkontroll og R500 presentasjonsenhet er også berørt.

I tillegg er Logitechs spillprodukter Lightspeed berørt av sikkerhetsproblemene med krypteringsnøkkelen.

Spørsmål: Kan jeg installere en fastvareoppgradering for å beskytte meg mot dette? Hvordan?
SVAR: To av sårbarhetene (kjent som CVE-2019-13053 og CVE-2019-13052) vil være vanskelig for en angriper å utnytte, og man kan effektivt beskytte seg mot dem ved å følge retningslinjene for databeskyttelse ovenfor. Vi vil ikke adressere disse med en fastvareoppdatering, da dette vil påvirke interoperabiliteten med andre Unifying-enheter negativt.

Vi tar imidlertid sikkerhet svært seriøst og anbefaler kundene å oppdatere trådløse Unifying USB-mottakere til den nyeste fastvaren. Fastvareoppdateringene utgitt etter august 2019 adresserer det tredje sikkerhetsproblemet (kjent som CVE-2019-13054/55), og den seneste fastvareversjonen kan lastes ned her.

For PC- og Mac-brukere: Du kan laste ned et enkelt oppdateringsverktøy her

For Linux-brukere: Vi vil distribuere oppdatert fastvare via Linux Vendor Firmware Service på https://fwupd.org/

Bedriftskunder kan laste ned et sentralt styrt verktøy for PC her:
Last ned DFU-verktøy for skript