2019 年,一位安全研究人员就与 Logitech Unifying™ 优联接收器相关的三个潜在漏洞与 Logitech 进行了联系。自那以后,我们一直与他保持联系,以评估他的报告并在必要时予以解决。
我们首先要向您保证,此研究是在受控环境中进行的。这些漏洞需要特殊的设备和技能,以及接近——甚至物理访问——目标电脑或设备。
关注自身隐私的用户可关注并应用以下问答中描述的计算安全措施。
其中一个漏洞已通过固件更新解决,您可以在此处下载最新版本。
我们非常重视客户的隐私,这些发现可协助我们不断改进我们的产品。
问:安全研究员报告的漏洞有哪些?
答:报告了三个潜在的漏洞。其中两个与提取加密密钥有关,该密钥可保障 Logitech 设备与 Logitech Unifying USB 接收器之间的通信安全。第三个漏洞是越过设备与 USB 接收器之间击键注入的保护屏障。
试图复制这些操作的人员需要特定的专业知识和特殊设备,并且要在 10 米的范围内。当有人将设备与 Unifying™ 优联接收器重新配对或者要物理访问目标设备或电脑时,他们需要在几秒钟内完成操作。
问:使用 Logitech 产品时应如何保护我的隐私?
答:您可以在使用电脑和 Logitech 产品时应用一些基本原则来保护您的隐私。
首先,遵循典型办公室或家庭中常见的安全措施,永远不要让陌生人物理访问或篡改您的电脑或输入设备。
其次,我们所有的 Unifying™ 优联设备在生产时都已安全地与无线接收器配对,此后无需配对。但是,能够将第二个、第三个或第四个设备与单只 USB 接收器配对是我们 Unifying™ 优联无线技术的优势之一,因此我们通过一个简单的软件来实现此功能。如果您需要将设备与 Unifying™ 优联接收器配对,此过程可能会让拥有适当设备和技能并且物理接近您电脑的黑客有机会“嗅探”加密密钥。因此,只有在绝对确定 10 米范围内没有可疑活动时才应执行此快捷操作步骤。
注意:如果您的设备停止工作,这绝不会是因为与 USB 接收器的配对丢失,因此无需重新配对即可进行故障排除。
问:这些报告涉及哪些 Logitech 产品?
答:使用 Logitech Unifying™ 优联无线协议的鼠标和键盘。您可以通过无线 USB 接收器上的橙色小徽标来识别 Unifying™ 优联产品,该徽标具有六个点形图案。Spotlight 无线演示器和 R500 演示器也受到影响。
此外,Logitech 的 Lightspeed 游戏产品同样存在加密密钥提取漏洞。
问:是否可以安装固件升级来保护我免受这种情况的影响?要怎么做?
答:其中两个漏洞(即 CVE-2019-13053 和 CVE-2019-13052)很难被攻击者利用,并且可以通过应用上述计算隐私指南来有效地防御。我们不会通过固件更新来解决上述问题,因为这会对与其他 Unifying™ 优联设备的互操作性产生负面影响。
但是,我们非常重视安全性,我们建议客户将其无线 Unifying™ 优联 USB 接收器更新到最新固件。2019 年 8 月后发布的固件更新均解决了第三个漏洞(即 CVE-2019-13054/55),可以访问此处下载最新版固件。
对于 PC 和 Mac 用户:您可以在此处下载一个简单的更新工具
对于 Linux 用户:我们将通过 Linux Vendor Firmware Service 分发更新的固件,地址为 https://fwupd.org/
我们的企业客户可以在此下载可集中部署的 PC 工具:
下载脚本 DFU 工具
常问问题
此部分没有可用的产品