Em 2019, um pesquisador de segurança informou a Logitech a respeito de três vulnerabilidades potenciais relacionadas ao receptor Unifying da Logitech. Desde então, temos estado em comunicação com ele para avaliar suas alegações e tratá-las conforme necessário.

Queremos primeiro reafirmar que esta pesquisa foi conduzida em um ambiente controlado. As vulnerabilidades exigem equipamentos e habilidades especiais, bem como proximidade, ou até mesmo acesso físico, ao computador ou dispositivo do alvo.

Pessoas preocupadas com sua privacidade devem observar e aplicar as medidas de segurança de computação descritas nas perguntas e respostas abaixo.

Uma das vulnerabilidades foi corrigida com atualizações de firmware, e você pode fazer download da versão mais recente aqui.

Levamos a privacidade de nossos clientes muito a sério e essas descobertas nos ajudam a melhorar continuamente nossos produtos.

P: Quais são as vulnerabilidades relatadas pelo pesquisador de segurança?
R: Três vulnerabilidades potenciais foram relatadas. Duas delas estão relacionadas à extração da chave de criptografia que protege a comunicação entre o dispositivo Logitech e o receptor USB Logitech Unifying. A terceira está relacionada à superação das barreiras à injeção de teclas entre o dispositivo e o receptor USB.

Uma pessoa que tentasse reproduzi-las precisaria de experiência e equipamento especial e estar dentro de um alcance de 10 m. Eles precisariam agir durante os poucos segundos quando alguém estiver pareando novamente um dispositivo com o receptor Unifying ou precisariam de acesso físico ao dispositivo ou computador do alvo.

P: Como devo proteger minha privacidade ao usar meus produtos Logitech?
R: Você pode proteger sua privacidade aplicando alguns princípios básicos ao usar seu computador e seus produtos Logitech.

Em primeiro lugar, siga as medidas de segurança de senso comum que são encontradas em um escritório ou casa típica, e nunca deixe estranhos acessarem fisicamente ou adulterarem seu computador ou dispositivos de entrada.

Em segundo lugar, todos os nossos dispositivos Unifying são pareados com segurança a um receptor sem fio quando são produzidos e o pareamento não é necessário depois disso. No entanto, a capacidade de parear um segundo, terceiro ou quarto dispositivo a um único receptor USB é uma das vantagens de nossa tecnologia sem fio Unifying, por isso a ativamos através de um simples software. Se você tiver que pareado um dispositivo a um receptor Unifying, este procedimento pode permitir que um hacker, com o equipamento e as habilidades corretas e fisicamente próximo ao seu computador, “adivinhe” a chave de criptografia. Portanto, este breve procedimento só deve ser realizado quando houver certeza absoluta de que não há atividade suspeita em um raio de 10 m (30 pés).

Observação: Se seu dispositivo parar de funcionar, isso nunca será devido a uma perda de pareamento com o receptor USB, portanto, não é necessário parear outra vez para solucionar o problema.

P: Quais produtos da Logitech estão afetados por esses relatórios?
R: Mouses e teclados que usam o protocolo sem fio Unifying da Logitech. Você pode identificar produtos Unifying por um pequeno logotipo laranja no receptor USB sem fio, que apresenta uma forma com seis pontas. O controle remoto de apresentação Spotlight e o apresentador R500 também estão afetados.

Além disso, os produtos de jogos Lightspeed da Logitech estão afetados com as vulnerabilidades de extração de chave de criptografia.

P: Posso instalar uma atualização de firmware para me proteger contra isso? Como?
R: Duas das vulnerabilidades (conhecidas como CVE-2019-13053 e CVE-2019-13052) seriam difíceis de ser exploradas por invasor e podem ser protegidas com eficácia aplicando as diretrizes de privacidade de computação acima. Não vamos resolver isso com uma atualização de firmware, pois isso afetaria negativamente a interoperabilidade com outros dispositivos Unifying.

No entanto, levamos a segurança muito a sério e recomendamos que nossos clientes atualizem seus receptores USB Unifying para o firmware mais recente. As atualizações de firmware lançadas desde agosto de 2019 abordam a terceira vulnerabilidade (conhecida como CVE-2019-13054 / 55) e a versão mais recente do firmware pode ser baixada aqui.

Para usuários de PC e Mac: Você pode fazer download de uma ferramenta de atualização simples aqui

Para usuários Linux: Distribuiremos o firmware atualizado através do serviço de firmware do fornecedor do Linux em https://fwupd.org/

Nossos clientes corporativos podem fazer download de uma ferramenta implantável centralmente para PC aqui:
Download da ferramenta de script DFU