В 2019 году один специалист по кибербезопасности обратился в Logitech по поводу трех потенциальных уязвимостей, связанных с приемником Logitech Unifying. С тех пор мы поддерживаем связь с этим специалистом, проверяя предложенные гипотезы и обмениваясь мнениями.

Прежде всего мы хотели бы заверить вас, что это исследование проводилось в контролируемой среде. Для использования уязвимостей требуется специальное оборудование и навыки, а также доступ, в том числе физический, к целевому компьютеру или устройству.

Пользователям, которые беспокоятся о конфиденциальности, следует изучить и применить меры компьютерной безопасности, описанные ниже в вопросах и ответах.

Одна из этих уязвимостей устранена в обновлениях прошивки, актуальную версию которой можно загрузить здесь.

Мы очень серьезно относимся к конфиденциальности пользователей, а полученные результаты помогают нам постоянно улучшать свои устройства.

Вопрос. О каких уязвимостях сообщил специалист по кибербезопасности?
Ответ. Нам сообщили о трех потенциальных уязвимостях. Две из них связаны с извлечением ключа шифрования, который защищает подключение между устройством Logitech и USB-приемником Logitech Unifying. Третья уязвимость касается обхода защиты от инъекции нажатий клавиш (keystroke injection) между устройством и USB-приемником.

Чтобы воспроизвести эти уязвимости, нужно иметь профессиональные знания и специальное оборудование, а также находиться в радиусе 10 метров от целевого устройства. Кроме того, нужно действовать в течение нескольких секунд, пока пользователь повторно подключает устройство к приемнику Unifying, или даже получить физический доступ к целевому устройству либо компьютеру.

Вопрос. Как мне защитить свою конфиденциальность при использовании устройств Logitech?
Ответ. Для защиты конфиденциальности следуйте основным принципам безопасности при использовании компьютера и устройств Logitech.

Прежде всего, соблюдайте разумные меры предосторожности, которые применяются в обычном офисе или доме, чтобы посторонние люди не могли получить физический доступ к вашему компьютеру или устройствам ввода и вмешиваться в их работу.

Во-вторых, все устройства Unifying надежно сопряжены с беспроводным приемником уже на заводе, поэтому дополнительное сопряжение им не требуется. Однако возможность сопряжения второго, третьего или четвертого устройства с одним USB-приемником — это одно из преимуществ нашей беспроводной технологии Unifying, реализованное с помощью простого программного обеспечения. Во время сопряжения устройства с приемником Unifying хакер — при наличии специального оборудования, профессиональных навыков и доступа к вашему компьютеру — может перехватить ключ шифрования. Таким образом, эта быстрая процедура возможна, только если в радиусе 10 м нет подозрительной активности.

Примечание. Если устройство перестало работать, это никак не может быть вызвано потерей сопряжения с USB-приемником, поэтому для устранения неполадок повторное сопряжение не требуется.

Вопрос. Какие устройства Logitech затронуты этими уязвимостями?
Ответ. Мыши и клавиатуры, использующие протокол беспроводной связи Logitech Unifying. Устройства с поддержкой Unifying имеют маленький оранжевый логотип с шестью точками на беспроводном USB-приемнике. Пульт Spotlight для презентаций и презентер R500 тоже затронуты этой уязвимостью.

Кроме того, проблема с извлечением ключа шифрования может касаться и игровых устройств Logitech Lightspeed.

Вопрос. Можно ли установить обновление прошивки в целях защиты? И как это сделать?
Ответ. Две уязвимости (CVE-2019-13053 и CVE-2019-13052) слишком сложны для практического использования злоумышленником, поэтому от них можно защититься, просто следуя указанным выше правилам при работе с компьютером. Мы не планируем выпускать обновление прошивки для устранения данных уязвимостей, так как это ухудшит совместимость с другими устройствами Unifying.

Однако мы очень серьезно относимся к безопасности и рекомендуем пользователям обновить прошивку беспроводных USB-приемников Unifying до актуальной версии. Третья уязвимость (CVE-2019-13054/55) уже устранена во всех выпущенных с августа 2019 года обновлениях прошивки, актуальную версию которой можно загрузить здесь.

Для пользователей ПК и Mac: загрузите простой инструмент обновления здесь

Для пользователей Linux: обновленная прошивка будет распространяться через сервис доставки обновлений прошивок (Linux Vendor Firmware Service): https://fwupd.org/

Корпоративные пользователи могут загрузить инструмент централизованного обновления для ПК здесь:
Загрузить инструмент Script DFU