År 2019 kontaktade en säkerhetsforskare Logitech angående tre potentiella sårbarheter relaterade till Logitechs Unifying-mottagare. Vi har varit i kontakt med honom sedan dess för att bedöma hans påståenden och vidta lämpliga åtgärder vid behov.

Vi vill först försäkra dig om att dessa efterforskningar har utförts i en kontrollerad miljö. Sårbarheterna skulle kräva specialutrustning och specialkunskaper, liksom närhet till, eller till och med fysisk åtkomst till, måldatorn eller målenheten.

De som är oroliga för sin integritet bör notera och tillämpa de datorsäkerhetsåtgärder som beskrivs i frågorna och svaren nedan.

En av sårbarheterna har åtgärdats med uppdateringar av inbyggd programvara, och du kan ladda ner den senaste versionen här.

Vi tar våra kunders integritet på största allvar, och dessa upptäckter hjälper oss att ständigt förbättra våra produkter.

Fråga: Vilka är de sårbarheter som rapporterades av säkerhetsforskaren?
Svar: Tre potentiella sårbarheter rapporterades. Två av dem har att göra med extrahering av krypteringsnyckeln som säkrar kommunikationen mellan Logitech-enheten och Logitech Unifying USB-mottagaren. Den tredje handlar om att ta sig förbi barriärerna för injicering av tangentkoppling mellan enheten och USB-mottagaren.

En person som försöker kopiera dessa skulle behöva expertkunskap och specialutrustning och vara inom 10 meters räckvidd. Personen skulle behöva agera under det fåtal sekunder då någon på nytt parkopplar en enhet till Unifying-mottagaren, eller så skulle personen behöva fysisk åtkomst till målenheten eller måldatorn.

Fråga: Hur bör jag skydda min integritet när jag använder Logitech-produkter?
Svar: Du kan skydda din integritet genom att tillämpa några grundläggande principer när du använder datorn och Logitech-produkterna.

Först och främst bör du följa de säkerhetsåtgärder som finns på ett vanligt kontor eller hemma, och låt aldrig främlingar fysiskt komma åt eller mixtra med datorn eller indataenheterna.

För det andra parkopplas alla våra Unifying-enheter på ett säkert sätt till en trådlös mottagare när de tillverkas, och efter det krävs det ingen parkoppling. Möjligheten att parkoppla en andra, tredje eller fjärde enhet till en enda USB-mottagare är dock en av fördelarna med vår trådlösa Unifying-teknik, så vi möjliggör det via en enkel programvara. Om du måste parkoppla en enhet till en Unifying-mottagare kan den här processen göra det möjligt för en hackare, som har rätt utrustning och kunskap och befinner sig fysiskt nära datorn, att ”luska reda” på krypteringsnyckeln. Så den här korta processen bör endast utföras när du är helt säker på att det inte förekommer någon misstänkt aktivitet inom 10 m/30 fot.

Obs! Om enheten slutar fungera beror det aldrig på att parkopplingen försvinner till USB-mottagaren, så det krävs inte någon ny parkoppling för felsökningen.

Fråga: Vilka Logitech-produkter berörs av dessa rapporter?
Svar: Möss och tangentbord som använder Logitechs trådlösa Unifying-protokoll. Du kan identifiera Unifying-produkter utifrån en liten orange logotyp på den trådlösa USB-mottagaren. Den har en sexuddig form. Presentationsfjärrkontrollen Spotlight och presentationsenheten R500 påverkas också.

Dessutom påverkas Logitechs Lightspeed-spelprodukter av sårbarheterna när det gäller extrahering av krypteringsnycklar.

Fråga: Kan jag installera en uppgradering av den inbyggda programvaran för att skydda mig mot detta? Hur?
Svar: Två av sårbarheterna (kända som CVE-2019-13053 och CVE-2019-13052) skulle vara svåra för en angripare att utnyttja, och man skyddar sig effektivt mot dem genom att tillämpa riktlinjerna för datorsekretess ovan. Vi kommer inte åtgärda dessa genom att uppdatera den inbyggda programvaran eftersom det skulle påverka interoperabiliteten med andra Unifying-enheter negativt.

Vi tar dock säkerheten på största allvar och vi rekommenderar att våra kunder uppdaterar sina trådlösa Unifying USB-mottagare till den senaste versionen av inbyggd programvara. I de uppdateringar av inbyggd programvara som har släppts sedan augusti 2019 åtgärdas den tredje sårbarheten (känd som CVE-2019-13054/55), och den senaste versionen av inbyggd programvara kan laddas ner här.

För PC- och Mac-användare: Du kan ladda ner ett enkelt uppdateringsverktyg här

För Linux-användare: Vi kommer att distribuera den uppdaterade inbyggda programvaran via Linux Vendor Firmware Service på https://fwupd.org/

Våra företagskunder kan ladda ner ett centralt distribuerbart verktyg för PC här:
Ladda ner DFU-verktyg för skript