Draadloze Logitech-muizen, -toetsenborden en -clickers kunnen door hackers worden misbruikt via nieuw ontdekte kwetsbaarheden in de USB-ontvanger. Ook een oude kwetsbaarheid blijft nog steeds in nieuwe apparaten opduiken.
De kwetsbaarheden werden ontdekt door beveiligingsonderzoeker Marcus Mengs en eerst gepubliceerd door ZDNet. Ze laten een aanvaller toe om toetsaanslagen uit te lezen of zelf in te geven, tot zelfs de computer volledig over te nemen.
Bovendien kan de encryptiesleutel van een beveiligde verbinding via de kwetsbaarheden worden achterhaald, of een eventuele key blacklist (om te voorkomen dat het gekoppelde apparaat toetsaanslagen injecteert) worden omzeild.
Een belangrijke kanttekening bij deze bevindingen is dat een aanvaller niet alleen over gespecialiseerde apparatuur moet beschikken, maar ook fysiek binnen een straal van 10 meter moet zijn om de kwetsbaarheden te misbruiken. Bovendien kan een aanval alleen gebeuren tijdens het koppelingsproces van een nieuw draadloos apparaat.
Unifying-ontvanger
De kwetsbaarheden treffen alle USB-dongles die gebruik maken van Logitechs gepatenteerde Unifying-technologie. Unifying-ontvangers worden al sinds 2009 meegeleverd met Logitechs draadloze randapparatuur. Je herkent de dongles aan het oranje sterretje.
Mengs gaat in zijn rapport dieper in op elke individuele kwetsbaarheid. Logitech werd op de hoogte gebracht en werkt naar verluidt aan een oplossing voor een aantal, maar niet alle, gerapporteerde problemen.
Maatregelen
“Twee van de kwetsbaarheden zouden voor een aanvaller moeilijk te exploiteren zijn en kunnen effectief tegen worden beschermd door [privacymaatregelen] toe te passen. We pakken deze niet aan met een firmware-update, omdat dit de interoperabiliteit met andere Unifying-apparaten negatief zou beïnvloeden”, verduidelijkt Logitech.
Onder die privacymaatregelen verstaat Logitech het voorkomen dat onbekenden fysieke toegang krijgen tot je computer, muis of toetsenbord. Daarnaast benadrukt de fabrikant dat apparaten al bij productie gekoppeld worden met hun ontvanger. Moet je toch een nieuw apparaat koppelen, dan adviseert Logitech om dat alleen te doen wanneer er geen verdachte activiteit is in een straal van 10 meter.
Voor een derde kwetsbaarheid wordt momenteel wel een patch ontwikkeld. Die zou vanaf augustus beschikbaar moeten zijn.
Oude kwetsbaarheid
Mengs stelde daarnaast vast dat ook de drie jaar oude MouseJack-kwetsbaarheid nog steeds voor problemen zorgt. Hoewel Logitech dat lek technisch gezien heeft gepatcht, zouden nog steeds kwetsbare dongles worden verkocht.
“We hebben de firmware-update beschikbaar gemaakt voor alle klanten die zich zorgen maakten en implementeerden de wijzigingen in later geproduceerde producten”, zegt een woordvoerder tegen The Verge. Wanneer die wijzigingen precies werden toegepast, kon de woordvoerder niet zeggen.
Gebruikers doen er daarom goed aan zelf hun Unifying-software naar de laatste versie te updaten – nu en in augustus liefst nog een keer.
De meest recente update vind je via deze link:
https://download01.logi.com/web/ftp/pub/techsupport/keyboards/SecureDFU_1.0.48.exe
Enterprise-klanten kunnen gebruik maken van Logitechs tool voor een gecentraliseerde uitrol naar alle apparaten:
https://chilp.it/2952ab6