在 2019 年，一名安全研究人員就與 Logitech 之 Unifying 接收器相關的三個潛在漏洞，與 Logitech 進行接觸。自那時起，我們一直與他保持聯繫，以評估其說法並在必要時解決這些漏洞問題。

我們首先要向您保證，這項研究是在受控環境中進行。這些漏洞需要特殊的設備和技能，以及接近 — 甚至實體存取—目標的電腦或裝置。

擔心自己隱私的人們，應注意並採取以下問答中所述的運算安全措施。

其中一個漏洞已透過韌體更新解決，您可以在這裡下載最新版本。

我們非常重視客戶的隱私，這些發現有助於我們不斷改進我們的產品。

問：安全研究員所報告的漏洞有哪些？
答：報告了三個潛在的漏洞。其中兩個與擷取加密金鑰有關，加密金鑰可用來確保 Logitech 裝置和 Logitech Unifying USB 接收器之間的通訊安全。第三個是關於克服裝置和 USB 接收器之間按鍵注入的障礙。

嘗試重現這些漏洞的人需要具有專業知識和特殊設備，且要在 10 公尺範圍內。當有人將裝置與 Unifying 接收器重新配對時，他們需要在幾秒鐘內採取行動，或需要能實體存取目標裝置或電腦。

問：使用 Logitech 產品時應如何保護我的隱私？
答：您可以在使用電腦和 Logitech 產品時遵循一些基本原則，來保護您的隱私。

首先，遵循典型辦公室或家庭中常見的常識性安全措施，永遠不要讓陌生人實體存取或篡改您電腦或輸入裝置。

其次，我們所有的 Unifying 裝置在生產時都已安全地與無線接收器配對，此後無需配對。但是，能將第二個、第三個或第四個裝置與單一 USB 接收器配對，是我們 Unifying 無線技術的優勢之一，因此我們透過一個簡單易用的軟體來將其實現。如果您必須將裝置與 Unifying 接收器配對，此程序可能會使駭客 - 擁有正確的設備和技能，並可實體接近您計算機者 - 可以「嗅探」加密金鑰。因此，應只在絕對確定 10 公尺/30 英尺範圍內沒有可疑活動時，才執行此簡短程序。

注意：如果您的裝置停止運作，這絕不是因為與 USB 接收器的配對消失，因此無需重新配對，即可進行問題排除。

問：這些報告涉及哪些 Logitech 產品？
答：使用 Logitech Unifying 無線協議的滑鼠和鍵盤。您可以藉由無線 USB 接收器上的橙色小標誌來識別 Unifying 產品，此標誌具有六個點的形狀。Spotlight 簡報遙控器和 R500 角報器也受到影響。

此外，Logitech 的 Lightspeed 遊戲產品存在加密金鑰擷取漏洞。

問：我可以安裝韌體升級來保護我不受此漏洞影響嗎？該如何進行？
答：漏洞的其中兩個 (稱為 CVE-2019-13053 和 CVE-2019-13052) 很難被攻擊者利用，且可以透過採取上述運算隱私指南來有效防禦。我們不會透過韌體更新來解決此漏洞，因為這會對與其他 Unifying 裝置的互操作性產生負面影響。

但是，我們非常重視安全性，因此我們建議客戶將其無線 Unifying USB 接收器更新到最新韌體。自 2019 年 8 月以來發布的韌體更新解決了第三個漏洞 (稱為 CVE-2019-13054/55)，最新韌體版本可在這裡下載。

對於 PC 和 Mac 使用者：您可以在這裡下載簡單易用的更新工具

對於 Linux 使用者：我們透過位於下列網址的 Linux 廠商韌體服務來散發更新過的韌體：https://fwupd.org/

我們的企業客戶可以在這裡下載適用於 PC 的集中部署工具：
下載指令檔 DFU 工具