Trong năm 2019, một nhà nghiên cứu bảo mật đã liên hệ với Logitech về ba lỗ hổng bảo mật liên quan đến Đầu thu Unifying. Kể từ đó, chúng tôi đã liên lạc với anh ta để đánh giá cáo buộc của anh và giải quyết chúng nếu cần.

Trước tiên chúng tôi muốn cam đoan với bạn rằng nghiên cứu này được tiến hành trong một môi trường có kiểm soát. Các lỗ hổng sẽ yêu cầu thiết bị và kỹ năng đặc biệt, cũng như khả năng tiếp cận gần — hoặc tiếp cận trực tiếp tới — máy tính hay thiết bị của mục tiêu.

Những người lo ngại về quyền riêng tư của mình nên lưu ý và áp dụng các biện pháp bảo mật được mô tả trong phần Hỏi&Đáp bên dưới.

Một trong những lỗ hổng đã được giải quyết với bản cập nhật phần sụn, và bạn có thể tải về phiên bản mới nhất tại đây.

Chúng tôi rất coi trọng quyền riêng tư của khách hàng, và những khám phá này giúp chúng tôi tiếp tục cải tiến sản phẩm của mình.

Hỏi: Các lỗ hổng bảo mật được báo cáo bởi nhà nghiên cứu bảo mật là gì?
TRẢ LỜI: Có ba lỗ hổng bảo mật được báo cáo. Hai trong số đó liên quan tới việc khai thác khóa mã hóa bảo đảm việc giao tiếp giữa thiết bị Logitech và đầu thu USB Unifying của Logitech. Lỗ hổng thứ ba liên quan tới vượt qua các rào cản để đưa cách thức tấn công bằng nghe lén những lần nhấn phím giữa thiết bị và đầu thu USB.

Một người cố gắng thực hiện hoạt động này sẽ cần chuyên môn cùng thiết bị đặc biệt và ở trong phạm vi 10m. Họ sẽ cần hành động trong vài giây khi ai đó đang ghép cặp lại thiết bị vào đầu thu Unifying hoặc sẽ cần tiếp cận trực tiếp tới thiết bị hoặc máy tính của mục tiêu.

Hỏi: Tôi nên bảo vệ quyền riêng tư của mình như thế nào khi sử dụng sản phẩm Logitech?
TRẢ LỜI: Bạn có thể bảo vệ quyền riêng tư của mình bằng cách áp dụng một số nguyên tắc cơ bản khi sử dụng máy tính và các sản phẩm Logitech.

Trước tiên và quan trọng nhất, hãy làm theo các biện pháp bảo mật thông thường được áp dụng ở văn phòng hoặc tại nhà, và đừng bao giờ để cho người lạ tiếp cận trực tiếp hoặc giả mạo máy tính hay thiết bị đầu vào của bạn.

Thứ hai, tất cả các thiết bị Unifying đều được ghép cặp an toàn với một đầu thu không dây khi chúng được sản xuất và việc ghép cặp sau đó là không bắt buộc. Tuy nhiên, khả năng ghép cặp thiết bị thứ hai, ba hoặc bốn tới một đầu thu USB là một trong những lợi thế của công nghệ không dây Unifying, do đó chúng tôi cho phép việc này thông qua một phần mềm đơn giản. Nếu bạn cần ghép cặp một thiết bị với đầu thu Unifying, quy trình này có thể cho phép kẻ tấn công - với thiết bị và kỹ năng phù hợp, và thực tế ở gần máy tính của bạn - “mò ra” khóa mã hóa. Do vậy quy trình ngắn gọn này chỉ nên được thực hiện khi hoàn toàn chắc chắn rằng không có hoạt động đáng ngờ nào ở trong phạm vi 10m/30 ft.

Lưu ý: nếu thiết bị của bạn dừng hoạt động, điều này không bao giờ là do mất mối ghép cặp với đầu thu USB, do vậy việc ghép cặp lại là không cần thiết để khắc phục sự cố.

Hỏi: Những sản phẩm Logitech nào có liên quan tới các báo cáo này?
TRẢ LỜI: Chuột và bàn phím sử dụng giao thức không dây Unifying của Logitech. Bạn có thể xác định sản phẩm Unifying bằng một logo nhỏ màu cam ở trên đầu thu USB không dây, gồm một hình có sáu cánh. Điều khiển trình chiếu Spotlight và bút trình chiếu R500 cũng bị ảnh hưởng.

Ngoài ra, các sản phẩm chơi game Lightspeed của Logitech cũng nằm trong danh sách quan ngại bởi lỗ hổng khai thác khóa mã hóa.

Hỏi: Tôi có thể cài đặt bản cập nhật phần sụn để bảo vệ mình khỏi các lỗ hổng này không? Cách thực hiện thế nào?
TRẢ LỜI: Hai trong số các lỗ hổng bảo mật (còn gọi là CVE-2019-13053 và CVE-2019-13052) sẽ khó cho tin tặc khai thác và có thể được bảo vệ an toàn bằng cách áp dụng các hướng dẫn bảo mật máy tính bên trên. Chúng tôi sẽ không giải quyết các vấn đề này bằng bản cập nhật phần sụn vì sẽ tác động tiêu cực đến khả năng tương tác với các thiết bị Unifying khác.

Tuy nhiên, chúng tôi xem xét vấn đề bảo mật rất nghiêm túc và khuyên khách hàng của mình nên cập nhật đầu thu không dây USB Unifying lên phần sụn mới nhất. Các bản cập nhật phần sụn được phát hành kể từ tháng 8 năm 2019 giải quyết lỗ hổng bảo mật thứ ba (còn gọi là CVE-2019-13054/55) và phiên bản phần sụn mới nhất có thể được tải về tại đây.

Đối với người dùng PC & Mac: Bạn có thể tải về công cụ cập nhật đơn giản tại đây

Đối với người dùng Linux: Chúng tôi sẽ phân phối phần sụn cập nhật thông qua Dịch vụ Phần sụn của Nhà cung cấp Linux tại https://fwupd.org/

Các khách hàng doanh nghiệp có thể tải về công cụ có thể triển khai tập trung cho PC tại đây:
Tải về Công cụ Script DFU