В 2019 году один специалист по кибербезопасности обратился в Logitech по поводу трех потенциальных уязвимостей, связанных с приемником Logitech Unifying. С тех пор мы поддерживаем связь с этим специалистом, проверяя предложенные гипотезы и обмениваясь мнениями.
Прежде всего мы хотели бы заверить вас, что это исследование проводилось в контролируемой среде. Для использования уязвимостей требуется специальное оборудование и навыки, а также доступ, в том числе физический, к целевому компьютеру или устройству.
Пользователям, которые беспокоятся о конфиденциальности, следует изучить и применить меры компьютерной безопасности, описанные ниже в вопросах и ответах.
Одна из этих уязвимостей устранена в обновлениях прошивки, актуальную версию которой можно загрузить здесь.
Мы очень серьезно относимся к конфиденциальности пользователей, а полученные результаты помогают нам постоянно улучшать свои устройства.
Вопрос. О каких уязвимостях сообщил специалист по кибербезопасности?
Ответ. Нам сообщили о трех потенциальных уязвимостях. Две из них связаны с извлечением ключа шифрования, который защищает подключение между устройством Logitech и USB-приемником Logitech Unifying. Третья уязвимость касается обхода защиты от инъекции нажатий клавиш (keystroke injection) между устройством и USB-приемником.
Чтобы воспроизвести эти уязвимости, нужно иметь профессиональные знания и специальное оборудование, а также находиться в радиусе 10 метров от целевого устройства. Кроме того, нужно действовать в течение нескольких секунд, пока пользователь повторно подключает устройство к приемнику Unifying, или даже получить физический доступ к целевому устройству либо компьютеру.
Вопрос. Как мне защитить свою конфиденциальность при использовании устройств Logitech?
Ответ. Для защиты конфиденциальности следуйте основным принципам безопасности при использовании компьютера и устройств Logitech.
Прежде всего, соблюдайте разумные меры предосторожности, которые применяются в обычном офисе или доме, чтобы посторонние люди не могли получить физический доступ к вашему компьютеру или устройствам ввода и вмешиваться в их работу.
Во-вторых, все устройства Unifying надежно сопряжены с беспроводным приемником уже на заводе, поэтому дополнительное сопряжение им не требуется. Однако возможность сопряжения второго, третьего или четвертого устройства с одним USB-приемником — это одно из преимуществ нашей беспроводной технологии Unifying, реализованное с помощью простого программного обеспечения. Во время сопряжения устройства с приемником Unifying хакер — при наличии специального оборудования, профессиональных навыков и доступа к вашему компьютеру — может перехватить ключ шифрования. Таким образом, эта быстрая процедура возможна, только если в радиусе 10 м нет подозрительной активности.
Примечание. Если устройство перестало работать, это никак не может быть вызвано потерей сопряжения с USB-приемником, поэтому для устранения неполадок повторное сопряжение не требуется.
Вопрос. Какие устройства Logitech затронуты этими уязвимостями?
Ответ. Мыши и клавиатуры, использующие протокол беспроводной связи Logitech Unifying. Устройства с поддержкой Unifying имеют маленький оранжевый логотип с шестью точками на беспроводном USB-приемнике. Пульт Spotlight для презентаций и презентер R500 тоже затронуты этой уязвимостью.
Кроме того, проблема с извлечением ключа шифрования может касаться и игровых устройств Logitech Lightspeed.
Вопрос. Можно ли установить обновление прошивки в целях защиты? И как это сделать?
Ответ. Две уязвимости (CVE-2019-13053 и CVE-2019-13052) слишком сложны для практического использования злоумышленником, поэтому от них можно защититься, просто следуя указанным выше правилам при работе с компьютером. Мы не планируем выпускать обновление прошивки для устранения данных уязвимостей, так как это ухудшит совместимость с другими устройствами Unifying.
Однако мы очень серьезно относимся к безопасности и рекомендуем пользователям обновить прошивку беспроводных USB-приемников Unifying до актуальной версии. Третья уязвимость (CVE-2019-13054/55) уже устранена во всех выпущенных с августа 2019 года обновлениях прошивки, актуальную версию которой можно загрузить здесь.
Для пользователей ПК и Mac: загрузите простой инструмент обновления здесь
Для пользователей Linux: обновленная прошивка будет распространяться через сервис доставки обновлений прошивок (Linux Vendor Firmware Service): https://fwupd.org/
Корпоративные пользователи могут загрузить инструмент централизованного обновления для ПК здесь:
Загрузить инструмент Script DFU
Вопросы и ответы
Для этого раздела нет продуктов