W 2019 roku badacz zabezpieczeń skontaktował się z firmą Logitech w sprawie trzech potencjalnych luk w zabezpieczeniach związanych z odbiornikiem Logitech Unifying. Od tego czasu pozostajemy z nim w kontakcie, aby ocenić jego zarzuty i odnieść się do nich w razie potrzeby.

Chcielibyśmy najpierw zapewnić Cię, że badania te zostały przeprowadzone w kontrolowanym środowisku. Luki te wymagałyby specjalnego sprzętu i umiejętności, a także bliskości – lub nawet fizycznego dostępu – do komputera lub urządzenia będącego celem ataku.

Osoby, które martwią się swoją prywatnością, powinny zwrócić uwagę i zastosować środki bezpieczeństwa w zakresie przetwarzania danych opisane w poniższej sekcji pytań i odpowiedzi.

Jedna z luk została wyeliminowana dzięki aktualizacji oprogramowania układowego, a najnowszą wersję można pobrać tutaj.

Traktujemy prywatność naszych klientów bardzo poważnie, a wyniki tych badań pomagają nam stale ulepszać nasze produkty.

P: Jakie są luki zgłoszone przez badacza zabezpieczeń?
O: Zgłoszone zostały trzy potencjalne luki. Dwie z nich dotyczą wyodrębnienia klucza szyfrowania, który zabezpiecza komunikację między urządzeniem firmy Logitech a odbiornikiem USB Logitech Unifying. Trzecia z nich dotyczy pokonania barier utrudniających wprowadzanie naciskania klawiszy pomiędzy urządzeniem a odbiornikiem USB.

Osoba próbująca je odtworzyć potrzebowałaby specjalistycznej wiedzy i specjalnego sprzętu oraz zasięgu 10 m. Musieliby oni podjąć działania w ciągu kilku sekund, kiedy ktoś ponownie paruje urządzenie z odbiornikiem Unifying lub potrzebowaliby fizycznego dostępu do urządzenia lub komputera docelowego.

P: Jak powinienem chronić swoją prywatność podczas używania produktów firmy Logitech?
O: Możesz chronić swoją prywatność, stosując kilka podstawowych zasad podczas korzystania z komputera i produktów firmy Logitech.

Przede wszystkim stosuj rozsądne środki bezpieczeństwa, które można znaleźć w typowym biurze lub domu, i nigdy nie pozwalaj obcym osobom na fizyczny dostęp lub manipulowanie przy komputerze lub urządzeniach wejściowych.

Po drugie, wszystkie nasze urządzenia Unifying są bezpiecznie sparowane z odbiornikiem bezprzewodowym już w momencie ich produkcji, a później parowanie nie jest wymagane. Jednak możliwość sparowania drugiego, trzeciego lub czwartego urządzenia z jednym odbiornikiem USB jest jedną z zalet naszej technologii bezprzewodowej Unifying, dlatego umożliwiamy to za pomocą prostego oprogramowania. W przypadku parowania urządzenia z odbiornikiem Unifying procedura ta może umożliwić hakerowi – dysponującemu odpowiednim sprzętem i umiejętnościami oraz znajdującemu się w pobliżu komputera – „przechwycenie” klucza szyfrowania. Tak więc ta krótka procedura powinna być wykonywana tylko wtedy, gdy istnieje absolutna pewność, że w promieniu 10 m/30 stóp nie ma żadnej podejrzanej aktywności.

Uwaga: jeśli urządzenie przestanie działać, nigdy nie jest to spowodowane utratą parowania z odbiornikiem USB, więc ponowne parowanie nie jest wymagane do rozwiązania problemu.

P: Które produkty Logitech są objęte tymi raportami?
O: Myszy i klawiatury Logitech obsługujące bezprzewodowy protokół Logitech Unifying. Produkty Unifying można rozpoznać po małym pomarańczowym logo na bezprzewodowym odbiorniku USB, przedstawiającym kształt z sześcioma punktami. Dotyczy to również pilota do prezentacji Spotlight i prezentera R500.

Ponadto w produktach do gier Lightspeed firmy Logitech występują luki w zabezpieczeniach klucza szyfrowania.

P: Czy mogę zainstalować aktualizację oprogramowania układowego, aby się przed tym chronić? Jak?
O: Dwie z tych luk (znane jako CVE-2019-13053 i CVE-2019-13052) byłyby trudne do wykorzystania przez atakującego i można się przed nimi skutecznie zabezpieczyć stosując powyższe wytyczne dotyczące prywatności w komputerach. Nie rozwiążemy tego problemu za pomocą aktualizacji oprogramowania układowego, ponieważ miałoby to negatywny wpływ na współpracę z innymi urządzeniami Unifying.

Jednak bardzo poważnie podchodzimy do kwestii bezpieczeństwa i zalecamy naszym klientom aktualizację odbiorników bezprzewodowych USB Unifying do najnowszej wersji oprogramowania układowego. Aktualizacje oprogramowania układowego wydane od sierpnia 2019 r. usuwają trzecią lukę (znaną jako CVE-2019-13054/55), a najnowszą wersję oprogramowania układowego można pobrać tutaj.

W przypadku komputerów PC i Mac: Proste narzędzie do aktualizacji można pobrać tutaj.

W przypadku użytkowników Linux: Zaktualizowane oprogramowanie układowe będzie rozpowszechniane za pośrednictwem Linux Vendor Firmware Service pod adresem https://fwupd.org/

Nasi klienci korporacyjni mogą pobrać centralnie wdrażane narzędzie dla komputerów PC tutaj:
Pobierz narzędzie Script DFU