2019’da bir güvenlik araştırmacısı, Logitech’in Unifying Alıcısı’ndaki üç olası güvenlik açığıyla ilgili olarak Logitech’e başvurdu. O zamandan beri, iddialarını değerlendirmek ve gerektiği şekilde ele almak için bu kişiyle iletişim hâlindeyiz.

Öncelikle, bu araştırmanın kontrollü bir ortamda yürütüldüğü konusunda sizi temin etmek isteriz. Güvenlik açıkları, özel ekipman ve becerilerin yanı sıra hedefin bilgisayarına veya cihazına yakınlık veya fiziksel erişim gerektirir.

Gizliliklerinden endişe duyan kişiler, aşağıdaki Soru-Cevap bölümünde açıklanan bilgi işlem güvenlik önlemlerini dikkate almalı ve uygulamalıdır.

Güvenlik açıklarından biri, ürün yazılımı güncellemeleriyle giderildi ve en son sürümü buradan indirebilirsiniz.

Müşterilerimizin gizliliğine son derece önem veriyoruz ve bu bulgular ürünlerimizi sürekli iyileştirmemize yardımcı oluyor.

S: Güvenlik araştırmacısının bildirdiği güvenlik açıkları nelerdir?
Y: Üç olası güvenlik açığı bildirildi. Bunlardan ikisi, Logitech cihazı ve Logitech Unifying USB alıcı arasında iletişimi koruyan şifreleme anahtarının çıkarılmasıyla ilgilidir. Üçüncü ise cihaz ve USB alıcı arasındaki tuş vuruşu enjeksiyonunun önündeki engellerin üstesinden gelmekle ilgilidir.

Bunları kopyalamaya çalışan bir kişi, uzmanlık ve özel ekipmana ihtiyaç duyar ve bu kişinin 10 metrelik bir mesafe içinde olması gerekir. Birisi bir cihazı Unifying alıcısıyla yeniden eşleştirirken birkaç saniye içinde harekete geçmesi veya hedefin cihazına veya bilgisayarına fiziksel olarak erişmesi gerekir.

S: Logitech ürünlerimi kullanırken gizliliğimi nasıl korumalıyım?
Y: Bilgisayarınızı ve Logitech ürünlerinizi kullanırken bazı temel ilkeleri uygulayarak gizliliğinizi koruyabilirsiniz.

Öncelikle, tipik bir ofiste veya evde kullanılan sağduyulu güvenlik önlemlerini izleyin ve yabancıların bilgisayarınıza veya giriş cihazlarınıza fiziksel olarak erişmesine veya bunları kurcalamasına asla izin vermeyin.

İkinci olarak, tüm Unifying cihazlarımız üretildiklerinde kablosuz bir alıcıyla güvenli bir şekilde eşleştirilir ve daha sonra eşleştirme gerekmez. Ancak ikinci, üçüncü veya dördüncü bir cihazı tek bir USB alıcıyla eşleştirme özelliği, Unifying kablosuz teknolojimizin avantajlarından biridir; bu nedenle bunu basit bir yazılım parçası aracılığıyla etkinleştiriyoruz. Bir cihazı Unifying alıcıyla eşleştirmeniz gerekiyorsa bu prosedür, doğru ekipman ve becerilere sahip ve bilgisayarınıza fiziksel olarak yakın olan bir bilgisayar korsanının şifreleme anahtarını “fark etmesine” izin verebilir. Dolayısıyla bu kısa prosedür, yalnızca 10 m/30 fit içinde şüpheli bir faaliyet olmadığından kesinlikle emin olunduğunda yapılmalıdır.

Not: Cihazınız çalışmamaya başlarsa bu sorun asla USB alıcı ile eşleştirme kaybından kaynaklanmaz, bu nedenle sorun gidermek için yeniden eşleştirme gerekmez.

S: Bu bildirimlerden etkilenen Logitech ürünleri hangileridir?
Y: Logitech Unifying kablosuz protokolünü kullanan fareler ve klavyeler. Unifying ürünlerini, kablosuz USB alıcının üzerindeki altı noktalı bir şekle sahip küçük turuncu bir logodan tanıyabilirsiniz. Spotlight sunum kumandası ve R500 sunum cihazı da bu sorunlardan etkilenmektedir.

Ek olarak, Logitech’in Lightspeed oyun ürünleri de şifreleme anahtarının çıkarılmasıyla ilgili olan güvenlik açıklarından etkilenmektedir.

S: Kendimi buna karşı korumak için bir üretici yazılımı güncellemesi yükleyebilir miyim? Nasıl?
Y: Bir saldırganın iki güvenlik açığını (CVE-2019-13053 ve CVE-2019-13052 olarak bilinir) kötüye kullanması zordur ve yukarıdaki bilgi işlem gizliliği yönergeleri uygulanarak bu açıklara karşı etkili şekilde koruma sağlanabilir. Diğer Unifying cihazlarıyla birlikte çalışabilirliği olumsuz etkileyeceğinden bu açıkları bir üretici yazılımı güncellemesiyle çözmeyeceğiz.

Ancak güvenliğe son derece önem veriyoruz ve müşterilerimizin kablosuz Unifying USB alıcılarını en son üretici yazılımına güncellemesini öneririz. Ağustos 2019’dan bu yana yayınlanan üretici yazılımı güncellemeleri, üçüncü güvenlik açığını (CVE-2019-13054/55 olarak bilinir) giderir ve en son üretici yazılımı sürümü buradan indirilebilir.

Bilgisayar ve Mac kullanıcıları için: Basit güncelleme aracını buradan indirebilirsiniz

Linux kullanıcıları için: Güncellenen üretici yazılımını https://fwupd.org/ adresinde Linux Vendor Firmware Service aracılığıyla dağıtacağız

Kurumsal müşterilerimiz, buradan bilgisayar için merkezi olarak dağıtılabilen bir araç indirilebilir:
Betik DFU Aracı’nı indir