在 2019 年,一名安全研究人員就與 Logitech 之 Unifying 接收器相關的三個潛在漏洞,與 Logitech 進行接觸。自那時起,我們一直與他保持聯繫,以評估其說法並在必要時解決這些漏洞問題。
我們首先要向您保證,這項研究是在受控環境中進行。這些漏洞需要特殊的設備和技能,以及接近 — 甚至實體存取—目標的電腦或裝置。
擔心自己隱私的人們,應注意並採取以下問答中所述的運算安全措施。
其中一個漏洞已透過韌體更新解決,您可以在這裡下載最新版本。
我們非常重視客戶的隱私,這些發現有助於我們不斷改進我們的產品。
問:安全研究員所報告的漏洞有哪些?
答:報告了三個潛在的漏洞。其中兩個與擷取加密金鑰有關,加密金鑰可用來確保 Logitech 裝置和 Logitech Unifying USB 接收器之間的通訊安全。第三個是關於克服裝置和 USB 接收器之間按鍵注入的障礙。
嘗試重現這些漏洞的人需要具有專業知識和特殊設備,且要在 10 公尺範圍內。當有人將裝置與 Unifying 接收器重新配對時,他們需要在幾秒鐘內採取行動,或需要能實體存取目標裝置或電腦。
問:使用 Logitech 產品時應如何保護我的隱私?
答:您可以在使用電腦和 Logitech 產品時遵循一些基本原則,來保護您的隱私。
首先,遵循典型辦公室或家庭中常見的常識性安全措施,永遠不要讓陌生人實體存取或篡改您電腦或輸入裝置。
其次,我們所有的 Unifying 裝置在生產時都已安全地與無線接收器配對,此後無需配對。但是,能將第二個、第三個或第四個裝置與單一 USB 接收器配對,是我們 Unifying 無線技術的優勢之一,因此我們透過一個簡單易用的軟體來將其實現。如果您必須將裝置與 Unifying 接收器配對,此程序可能會使駭客 - 擁有正確的設備和技能,並可實體接近您計算機者 - 可以「嗅探」加密金鑰。因此,應只在絕對確定 10 公尺/30 英尺範圍內沒有可疑活動時,才執行此簡短程序。
注意:如果您的裝置停止運作,這絕不是因為與 USB 接收器的配對消失,因此無需重新配對,即可進行問題排除。
問:這些報告涉及哪些 Logitech 產品?
答:使用 Logitech Unifying 無線協議的滑鼠和鍵盤。您可以藉由無線 USB 接收器上的橙色小標誌來識別 Unifying 產品,此標誌具有六個點的形狀。Spotlight 簡報遙控器和 R500 角報器也受到影響。
此外,Logitech 的 Lightspeed 遊戲產品存在加密金鑰擷取漏洞。
問:我可以安裝韌體升級來保護我不受此漏洞影響嗎?該如何進行?
答:漏洞的其中兩個 (稱為 CVE-2019-13053 和 CVE-2019-13052) 很難被攻擊者利用,且可以透過採取上述運算隱私指南來有效防禦。我們不會透過韌體更新來解決此漏洞,因為這會對與其他 Unifying 裝置的互操作性產生負面影響。
但是,我們非常重視安全性,因此我們建議客戶將其無線 Unifying USB 接收器更新到最新韌體。自 2019 年 8 月以來發布的韌體更新解決了第三個漏洞 (稱為 CVE-2019-13054/55),最新韌體版本可在這裡下載。
對於 PC 和 Mac 使用者:您可以在這裡下載簡單易用的更新工具
對於 Linux 使用者:我們透過位於下列網址的 Linux 廠商韌體服務來散發更新過的韌體:https://fwupd.org/
我們的企業客戶可以在這裡下載適用於 PC 的集中部署工具:
下載指令檔 DFU 工具
常見問答集
沒有適用於此區段的產品