Logitechin Unifying vastaanottimessa tietoturvariski

[Focus0]

Tällainen uutinen tuli vastaan: Logitech wireless USB dongles vulnerable to new hijacking flaws | ZDNet

Logitechin langattomissa ohjainlaitteissa vuodesta 2009 alkaen käytössä olevissa Unifying-vastaanottimissa on siis havaittu tietoturvahaavoittuvuuksia, joista yksi mahdollistaa yhteyden suojausavaimen kaappaamisen laitteen parituksen aikana ja toiset näppäimistödatan seuraamisen, ylimääräisten näppäinpainallusten ujuttamisen sekaan sekä jopa tietokoneen ohjauksen kaappaamisen, jos lähettimeen on mahdollisuus päästä fyysisesti käsiksi. Logitech on kertonut haavoittuvuuden löytäneelle Marcus Mengsille paikkaavansa osan raportoiduista puutteista. Unifying-vastaanotinta käyttäviin laitteisiin on suositeltavaa asentaa uusimmat firmware-päivitykset nyt ja lähikuukausien aikana.

"A security researcher has publicly disclosed new vulnerabilities in the USB dongles (receivers) used by Logitech wireless keyboards, mice, and presentation clickers.

The vulnerabilities allow attackers to sniff on keyboard traffic, but also inject keystrokes (even into dongles not connected to a wireless keyboard) and take over the computer to which a dongle has been connected.

When encryption is used to protect the connection between the dongle and its paired device, the vulnerabilities also allow attackers to recover the encryption key.

Furthermore, if the USB dongle uses a "key blacklist" to prevent the paired device from injecting keystrokes, the vulnerabilities allow the bypassing of this security protection system.

Marcus Mengs, the researcher who discovered these vulnerabilities, said he notified Logitech about his findings, and the vendor plans to patch some of the reported issues, but not all.

Logitech "Unifying" dongles are impacted

According to Mengs, the vulnerabilities impact all Logitech USB dongles that use the company's proprietary "Unifying" 2.4 GHz radio technology to communicate with wireless devices.

Unifying is one of Logitech's standard dongle radio technology, and has been shipping with a wide array of Logitech wireless gear for a decade, since 2009. The dongles are often found with the company's wireless keyboards, mice, presentation clickers, trackballs, and more.

Users can recognize if they're using a Logitech USB dongle that's vulnerable to these attacks because all Unifying dongles have an orange star printed on one of its sides, as portrayed in these Wikipedia images.

Below is a summary of Mengs' discoveries and Logitech's plan of action."​

Asiasta kertoi myös Digitoday: Tuliko näppäimistösi tai hiiresi mukana tämä yleinen palikka? Tietokoneesi on vaarassa


Viestin sisältöä täydentänyt jälkikäteen @Juha Kokkonen

 

[Bontano]

Asiasta kertoi myös Digitoday: Tuliko näppäimistösi tai hiiresi mukana tämä yleinen palikka? Tietokoneesi on vaarassa

Onpahan taas järkyttävää otsikointia, toisaalta eipä sitä voi ilta-sanomilta muuta odottaakaan

 

[hsalonen]

Minulla on näitä 3. Yksi on kyllä työkäytössä, niin siellä voivat hermostua, kun se ei ole tarkoitettu muiden silmille.

 

[TenderBeef]

Jutusta se biiffi, boldaukset minun:

CVE-2019-13052

Mengs says that if an attacker can capture the pairing between a Unifying dongle and a Logitech wireless accessory, the attacker can recover the key used to encrypt traffic between the two components.
...
Furthermore, in situations where the attacker has missed the dongle pairing operation, an attacker with physical access to the dongle "could manually initiate a re-pairing of an already paired device to the receiver, in order to obtain the link-encryption key," by simply unplugging and re-plugging the dongle.
...
Logitech told Mengs that they don't plan to issue a firmware patch for this vulnerability.

CVE-2019-13053

According to Mengs, this is a vulnerability through which an attacker can inject keystrokes into the encrypted communications stream between a USB dongle and a Logitech device, even without knowing the encryption key.

The researcher says the attacker needs physical access to a device to perform this attack.
...
Physical access is required only once, so the attacker can collect enough cryptographic data from the radio traffic.
...
Mengs says this vulnerability exists due to an incomplete fix for CVE-2016-10761, one of the infamous MouseJack vulnerabilities, and that Logitech has no plans on patching this new attack variation.

CVE-2019-13054 and CVE-2019-13055

CVE-2019-13054 and CVE-2019-13055 are technically the same vulnerability. The flaws require physical access to a Logitech Unifying dongle to successfully exploit.
...
Logitech told Mengs that a patch for this issue is scheduled for August 2019.

Mengs also warned that many Logitech Unifying dongles are still vulnerable to the old MouseJack vulnerabilities disclosed back in 2016.

 

[aiwan]

Kyllä tämä on vakava keissi, jokainen tietty itse joutuu arvioimaan mikä on todennäköisyys sille että kotinäppistä kuunnellaan kohtuu läheltä, tai kuinka todennäköistä että joku taho käy näppäilemässä näppäimistöäsi poissaollessasi, eikä tietenkään kannata noita laitteita huvikseen paritella.

Tärkein jäi kuitenkin uutisoimatta, mikä löytyy tuolta heisestä. Mene ja päivitä firmis just nyt heti eikä huomenna, jos moisia kamppeita löytyy. Ja tee se uudelleen elokuussa kun tulee lisää korjauksia. Artikkelin lopussa linkit firmisversion tsekkaamiseen ja päivittämiseen.

Logitech keyboards and mice vulnerable to extensive cyber attacks

Itse suosittelisin että pitäkää se langaton hiiri, mutta näppikseen johto.

 

[Kepe]

Jokainen haavoittuvuus näyttää vaativan fyysisen käsiksi pääsemisen laitteisiin, kuten @TenderBeef kätevästi boldaili tarkemmista haavoittuvuuskuvauksista. Ts. kotikäytössä olevat näppikset sun muut ovat varsin hyvin turvassa.

Työpaikoilla tämä on sitten vähän vakavampi juttu.

Onneksi itse tykkään langallisista vekottimista, niitä kun ei tarvitse latailla. Läppärin hiiren mukana tosin tuli tuollainen vastaanotin, mutta sitäkään ei tarvitse kun hiiri on bluetoothilla yhteydessä koneeseen.

 

[ANTI_L]

Ei koske omia unifyingejä, koska paritukset on tehty jo ja dongle on ihan kotona lukkojen takana, jos joku siihen täällä pääsee käsiksi, niin eiköhän sitten jo aika paljon muutakin arvokkaampaa asiaa hävinnyt matkaan.

 

[TenderBeef]

Jokainen haavoittuvuus näyttää vaativan fyysisen käsiksi pääsemisen laitteisiin, kuten @TenderBeef kätevästi boldaili tarkemmista haavoittuvuuskuvauksista.

Se ensimmäinen haavoittuvuus ei vaadi fyysisesti käsiksi pääsemistä, lähialueella oleminen riittää jos laitteiden paritus tehdään juuri silloin.

Onneksi itse tykkään langallisista vekottimista, niitä kun ei tarvitse latailla. Läppärin hiiren mukana tosin tuli tuollainen vastaanotin, mutta sitäkään ei tarvitse kun hiiri on bluetoothilla yhteydessä koneeseen.

Eikös noissa bluetooth-jutuissakin ole ollut joskus jotain aukkoja? Itsellä ei kyllä ole millään mahdollista palata johdollisiin, sen verran kätevämpiä ja ei-haittaavia nämä langattomat on. Tosin tuossa aika uudessa hiiressäni (M590) olisi myös mahdollisuus bluetoothiin, tiedä pitäisikö sitä kokeilla..

 

[Kepe]

Se ensimmäinen haavoittuvuus ei vaadi fyysisesti käsiksi pääsemistä, lähialueella oleminen riittää jos laitteiden paritus tehdään juuri silloin. ...

No joo siis jos joku ostaa Logitechin langattoman näppiksen ja sitten jossain julkisella paikalla ottaa sen käyttöön, niin joo. Mutta kuinka moni niin tekee? Tarkoittaa sitä, että joku on läppärin kanssa vaikka kahvilassa, availee siinä näppiksen paketin, kytkee vastaanottimen läppäriin ja sen jälkeen näppäimistön päälle. Ymmärsin että tuossa tarkoitetaan sitä ensimmäistä parituskertaa, ei sitä kun näppis ja vastaanotin on jo paritettu, ja näppäimistö kytketään päälle ja se yhdistää vastaanottimeen.

...Eikös noissa bluetooth-jutuissakin ole ollut joskus jotain aukkoja? Itsellä ei kyllä ole millään mahdollista palata johdollisiin, sen verran kätevämpiä ja ei-haittaavia nämä langattomat on. Tosin tuossa aika uudessa hiiressäni (M590) olisi myös mahdollisuus bluetoothiin, tiedä pitäisikö sitä kokeilla..

Bluetoothin tietoturvaongelmat johtuvat nykyään Bluetooth -"standardin" laajuudesta ja moninaisuudesta ja siitä, että valmistajat eivät vaivaudu ottamaan selvää siitä, että miten heidän laitteensa tulisi Bluetoothia käyttää. Tästä oli hyvä artikkeli englanniksi jokunen kuukausi sitten: Bluetooth's Complexity Has Become a Security Risk
Valmistajan oikein konffaama Bluetooth on käsittääkseni varsin turvallinen.

 

[aiwan]

@Kepe noi on paritettu siellä tehtaalla, elikkäs donglen voi suoraan laittaa koneeseen ja se toimii heti.

Ehkä itseä tuossa uutisessa vituttaa se, että noita reikiä löytyy pienellä penkomisella heti roppakaupalla, joten voit olla varma että niitä jäi löytymättä toinen mokoma. :/

EDIT: ja noi 2016 löydetyt haavoittuvuudet on ilmeisesti edelleen korjaamatta myynnissä olevissa laitteissa ja käyttäjän pitää itse päivittää firmikset kiven alla olevilla softilla.

 

[Kepe]

@Kepe noi on paritettu siellä tehtaalla, elikkäs donglen voi suoraan laittaa koneeseen ja se toimii heti. ...

Meinasinkin lisätä jo tuohon ylempään, että eikös ne ole jo valmiiksi paritettu tehtaalla, mutta en ollut ihan satavarma niin en lisännyt. Eli sinänsä aika vähäpätöiset riskit kotikäyttäjälle kaikinpuolin. Toimistoilla ja julkisissa paikoissa sitten eri juttu.

 

[aiwan]

Periaatteessa kotikäyttäjä on kyllä aika turvassa, koska jos kämppään tullaan niin samalla vie koneen tai asentaa jotain muuta ikävää.

Itse löysin just loppuvuodesta 2017 logitechilta takuuvaihdosta tulleen hiiren ja donglen; ja pitihän se kokeilla. Ei ollut firmikset päivitetty. Ja unifying softwaressa on "update firmware" nappula, mutta se on harmaana. Ainoastaan tuo SecureDFU osaa päivittää firmiksen. VMP.

 

[zepi]

Meinasinkin lisätä jo tuohon ylempään, että eikös ne ole jo valmiiksi paritettu tehtaalla, mutta en ollut ihan satavarma niin en lisännyt. Eli sinänsä aika vähäpätöiset riskit kotikäyttäjälle kaikinpuolin. Toimistoilla ja julkisissa paikoissa sitten eri juttu.

Aika moni käyttää kannettavissa tietokoneissaan noita logitechin hiiriä ja silloin se dongle on usein pysyvästi kiinni siinä USB-portissa.

Kannettavia käytetään yliopistojen luentosaleissa, kahviloissa, julkisissa liikennevälineissä jne, jolloin oikeita riskejä alkaa muodostua.

 

[Kepe]

Aika moni käyttää kannettavissa tietokoneissaan noita logitechin hiiriä ja silloin se dongle on usein pysyvästi kiinni siinä USB-portissa.

Kannettavia käytetään yliopistojen luentosaleissa, kahviloissa, julkisissa liikennevälineissä jne, jolloin oikeita riskejä alkaa muodostua.

Jos jättää kannettavansa valvomatta tuollaisissa paikoissa, niin on aika monta kertaa suurempi riski siihen, että joku vaan nappaa koneen mukaansa. Sitä paitsi hiiren klikkauksien lukeminen etänä ei oikein hyödytä hakkeria millään tavalla. Hiirellä ei kirjoiteta salasanoja eikä mitään muutakaan.. Kuka käyttää langatonta näppäimistöä läppärin kanssa (varsinkin) jossain julkisessa paikassa?
Edelleen erittäin, erittäin marginaalinen riski normaalille käyttäjälle, että joku käy hakkeroimassa paikan päällä tuollaisen unifying-lähettimen urkkiakseen tietoja.

 

[TenderBeef]

No joo siis jos joku ostaa Logitechin langattoman näppiksen ja sitten jossain julkisella paikalla ottaa sen käyttöön, niin joo. Mutta kuinka moni niin tekee? Tarkoittaa sitä, että joku on läppärin kanssa vaikka kahvilassa, availee siinä näppiksen paketin, kytkee vastaanottimen läppäriin ja sen jälkeen näppäimistön päälle. Ymmärsin että tuossa tarkoitetaan sitä ensimmäistä parituskertaa, ei sitä kun näppis ja vastaanotin on jo paritettu, ja näppäimistö kytketään päälle ja se yhdistää vastaanottimeen.

@Kepe noi on paritettu siellä tehtaalla, elikkäs donglen voi suoraan laittaa koneeseen ja se toimii heti.

Siis, kysehän on Unifying dongleista joihin voi naittaa mitä tahansa toisia Unifying laitteita. Ja tietoturvatutkijan mielestä paritus tapahtuu JOKA kerta kun donglea laitetaan kiinni koneeseen (ja ehkä jopa silloin kun hiiri/näppis asetetaan takaisin on-tilaan?). Suoraan jutusta, kerran jo lainasin tätäkin pätkää topikkiin:

Furthermore, in situations where the attacker has missed the dongle pairing operation, an attacker with physical access to the dongle "could manually initiate a re-pairing of an already paired device to the receiver, in order to obtain the link-encryption key," by simply unplugging and re-plugging the dongle.

Meinasinkin lisätä jo tuohon ylempään, että eikös ne ole jo valmiiksi paritettu tehtaalla, mutta en ollut ihan satavarma niin en lisännyt. Eli sinänsä aika vähäpätöiset riskit kotikäyttäjälle kaikinpuolin. Toimistoilla ja julkisissa paikoissa sitten eri juttu.

Periaatteessa kotikäyttäjä on kyllä aika turvassa, koska jos kämppään tullaan niin samalla vie koneen tai asentaa jotain muuta ikävää.

Ei välttämättä tarvitse tulla kämppään tai yrityksen tiloihin, näiden kantamat ovat tarpeeksi isoja ("2.4 GHz radio technology") että "sopivien" seinien kanssa, kerros-, rivitalossa tai viereinen yritys voi kuunnella liikennettä. Jutussa mainitun MouseJack:in sivuilta löytyy myös tietoa näistä asioista, esim.

An attacker can launch the attack from up to 100 meters away. The attacker is able to take control of the target computer, without physically being in front of it, and type arbitrary text or send scripted commands. It is therefore possible to perform rapidly malicious activities without being detected.

Sitä paitsi hiiren klikkauksien lukeminen etänä ei oikein hyödytä hakkeria millään tavalla. Hiirellä ei kirjoiteta salasanoja eikä mitään muutakaan..

Mutta kun se ei tarvitse edes olla mikään näppäimistö jolla voi tehdä pahoja.. näistä on jo tätäkin uutista aiemmin ollut juttuja. Annetaan artikkelin taas kertoa:

The vulnerabilities allow attackers to sniff on keyboard traffic, but also inject keystrokes (even into dongles not connected to a wireless keyboard) and take over the computer to which a dongle has been connected.

Tai MouseJackin sivuilta:

...an attacker is able to pretend to be a mouse and transmit their own movement/click packets to a dongle.

Problems in the way the dongles process received packets make it possible for an attacker to transmit specially crafted packets which generate keypresses instead of mouse movement/clicks.

 

[TenderBeef]

Paska hommahan tässä on se, että Logitech on sanonut tuovansa pätsin vain yhteen/kahteen (teknisesti samanlaisiin) haavoittuvuuksiin jo(i)ta voi hyväksikäyttää vain fyysisesti, eikä ollenkaan siihen ensimmäiseen jossa on se parituksen haavoittuvuus etänä.

 

[aiwan]

Siis, kysehän on Unifying dongleista joihin voi naittaa mitä tahansa toisia Unifying laitteita. Ja tietoturvatutkijan mielestä paritus tapahtuu JOKA kerta kun donglea laitetaan kiinni koneeseen (ja ehkä jopa silloin kun hiiri/näppis asetetaan takaisin on-tilaan?).

En kyllä nopealla tutkimuksella löytänyt muualta tuota tietoa, edes sieltä github linkistä, että paritus donglen tuntemille laitteille tapahtuisi joka kerta kun dongle irroitetaan laitteesta ja samaa tukisi Logitechin vastine:

Logitech Unifying Receiver Update

"Note, if your device stops working, this is never because of a loss of pairing to the USB receiver so re-pairing is not required to troubleshoot."

 

[Juha Kokkonen]

Jutusta se biiffi, boldaukset minun:

Tärkein jäi kuitenkin uutisoimatta, mikä löytyy tuolta heisestä. Mene ja päivitä firmis just nyt heti eikä huomenna, jos moisia kamppeita löytyy. Ja tee se uudelleen elokuussa kun tulee lisää korjauksia. Artikkelin lopussa linkit firmisversion tsekkaamiseen ja päivittämiseen.

Logitech keyboards and mice vulnerable to extensive cyber attacks

Hyviä tarkennuksia, päivittelin vähän tuota aloitusviestiä.

 

[Bummer]

Töissä näitä on muutama sata joten täytyy ilmeisesti tutkia lähemmin. Tuo paritushan tarvitaan vain silloin uudestaan kun oot hukannut hiiren/donglen ja Unifying-softalla haluat parittaa uuden hiiren tai näppiksen palikkaan. Ainakin ekassa demossa kyseinen Unifying-softa on auki. Käyttäjä ei ainakaan meillä itse näitä parittele.

 

[Ormu]

Meinasinkin lisätä jo tuohon ylempään, että eikös ne ole jo valmiiksi paritettu tehtaalla, mutta en ollut ihan satavarma niin en lisännyt. Eli sinänsä aika vähäpätöiset riskit kotikäyttäjälle kaikinpuolin. Toimistoilla ja julkisissa paikoissa sitten eri juttu.

Jos ostaa tuollaisella vastaanottimella varustetun laitteen, niin silloin kaiketi on... Mutta vastaanottimeen voi liittää lisää laitteita, ja myös irtovastaanottimia saa.

Jos hyökkääjä pystyy pakottamaan uudelleenparituksen, silloin vaarassa ovat tietysti kaikki paritetut laitteet.

 

[TenderBeef]

En kyllä nopealla tutkimuksella löytänyt muualta tuota tietoa, edes sieltä github linkistä, että paritus donglen tuntemille laitteille tapahtuisi joka kerta kun dongle irroitetaan laitteesta ja samaa tukisi Logitechin vastine:

Logitech Unifying Receiver Update

"Note, if your device stops working, this is never because of a loss of pairing to the USB receiver so re-pairing is not required to troubleshoot."

Tuo quote ei mielestäni suoraan kyllä kerro mitään tähän asiaan. Tunnetustihan monet firmat tällaisessa tilanteessa vähättelevät asioita ja jopa saattavat valehdellakin. Kannattaa tsekata tuon postaamasi linkin kommenttiosio, siellä on jo yksi hyvä haasto firmalle. Itse ainakin uskon haavoittuvuuksien löytäjää niin kauan kunnes joku osoittaa hänen olleen väärässä (Logitech ei sitä tehnyt). Olisi toki ollut mukavaa saada tarkempaa tietoa tuosta etähaavoittuvuudesta.

Pitää tässä varmaan katsoa tuota hiiren bluetooth-yhteyttä toimimaan, JOS se nyt on turvallisempi/turvallinen. Näppäimistön vaihto bluetooth-malliin ei ehkä taida olla tarpeen, on vain kotona läppärin apulaisena. Muutenkin sopivaa näppäimistöä on aina vaikea löytää, niin monissa on näppäin-koot/asetelmat ihan pielessä jollain tavalla (esim. enter ei "normaali"-kokoinen, F-nappäimet ei jaoteltu ja/tai liian lähellä numeroriviä, jne.).

 

[aiwan]

Itse ainakin uskon haavoittuvuuksien löytäjää niin kauan kunnes joku osoittaa hänen olleen väärässä (Logitech ei sitä tehnyt). Olisi toki ollut mukavaa saada tarkempaa tietoa tuosta etähaavoittuvuudesta.

Kokeillaanpa rautalankaa: zdnetin artikkeli on tällä hetkellä ainot mun löytämäni lähde väitteelle että donglen irroitus ja uudelleen kytkeminen usb-porttiin käynnistää pairinging prosessin.

Logitech wireless USB dongles vulnerable to new hijacking flaws | ZDNet

"Furthermore, in situations where the attacker has missed the dongle pairing operation, an attacker with physical access to the dongle "could manually initiate a re-pairing of an already paired device to the receiver, in order to obtain the link-encryption key," by simply unplugging and re-plugging the dongle."

Toinen media heise.de, joka julkaisi tämän päivää aikaisemmin ei asiaa mainitse.
Logitech keyboards and mice vulnerable to extensive cyber attacks

Lisäksi kahlasin läpi tutkijan aineiston nopeasti osoitteessa mame82/UnifyingVulnsDisclosureRepo enkä löytänyt mainintaa asiasta.

Sen sijaan siellä lukee näin:
1) A discovered vulnerability in AES key exchange/generation, which allows a passive remote attacker (monitoring RF) to steal the crypto keys if a pairing is sniffed. Ultimately the attacker is able to decrypt all keystrokes monitoring RF traffic. Such a pairing has to be initialized by a user, but there are several ways to extend the attack in order to
fulfill this requirement (DoS the device till the user re-pairs, attacker gets physical access to dongle+device andre-pairs hisself etc.). Of course, knowledge of encryption keys allows keystroke injection, too.

Jos donglen irroitus ja kytkentä USB-porttiin käynnistäisi automaattisen parituksen, niin se muuttaisi minusta tämän haavoittuuden luokituksen vielä paljon korkeammalle tasolle, että epäilen tässä tapauksessa zdnetin toimittajalle tulleen väärinymmärrys.

 

[Maranki]

Voisi olla ihan kiva artikkeli-idea iO-Techille testata käytännössä jotain tällaista haavoittuvuutta, miten realistisesta riskistä on todellisuudessa kysymys.

 

[aiwan]

Koska piti nyt syystä x kirjoittaa tästä toisaalle kansankielellä, niin pannaan nyt sitten tännekin - hieman modattuna.

Mitä tiedämme varmasti case Logitech Unifying

1) Logitechin wireless tuotteiden pairing prosessi on murrettu. Käytettyä 2.4GHz liikennettä voidaan kuunnella 10-100(?) metrin säteellä kohteesta, riippuen kiinteistöstä ja hyökkääjän taidosta. Kuunnellusta datasta voidaan kaapata ja murtaa salausavaimet. Tämän jälkeen hyökkääjä voi samalta etäisyydeltä nauhoittaa kaiken mitä näppäimistöltä kirjoitetaan. Pairing prosessi kestää muutaman sekunnin. Sitä ei normaalisti tarvitse käyttää, JOS EI LISÄTÄ uusia laitteita jo käytössä olevaan dongleen. Hyökkääjän tarvitsee nauhoittaa juuri tämä pairing prosessi.

2) JOS hyökkääjä saa fyysisesti haltuunsa unifying donglen JA näppäimistön noin 10-30s ajaksi, niin voidaan: irroittaa dongle, kytkeä se hyökkääjän laitteeseen (=läppäri jossa logitech unifying software tai jotain kehittyneempää esim Raspilla). Käynnistää uudelleen paritus donglessa ja näppäimistössä (=parituskomento donglelle; power off, power on, näppäimistölle). Sitten dongle takaisin paikalleen. Uudelleen parituksen aikana täytyy olla kuuntelu käynnissä kuten kohdassa 1).

3) Toinen haavoittuvuus kohdistuu logitechin langattomiin näppiksiin, mikä ei kuitenkaan vaadi pairing tilaa. Jos hyökkääjällä on radiokuuntelu käynnissä kuten kohdassa 1) on olemassa ainakin kolme hyökkäysvaihtoehtoa:
1) kävellä näppäimistölle ja painella tiedetyt
näppäimet (15-20 näppäinpainallusta riittää)
2) kuvata näppäimistöä kameralla
3) käyttää tarkkailijaa joka katsoo mitä kirjoitetaan
tai pyytää käyttäjää kirjoittamaan jotain sovittua.

Tämän liikenteen nauhoitettuaan käytössään tunnetut näppäinpainallukset, hyökkääjä pystyy murtamaan salauksen.

4) Logitech on luvannut korjata elokuun 2019 aikana firmware päivityksellä:
a) Modatulla usb lukijalla hyökkääjä voi muutamassa
sekunnissa lukea salausavaimet saatuaan fyysisen pääsyn
dongleen, jonka jälkeen voi nauhoittaa kaiken
näppäimistöltä tai syöttää komentoja koneelle joilla
ottaa koneen täysin haltuunsa sekä asentaa takaportin.

b) Haavoittuvuus langattomissa kaukosäätimissa
(presenters). Muutamassa sekunnissa hyökkääjä saatuaan
käsiinsä donglen, voi muuttaa laitteen "näppäimistöksi
Windowssissa". Esityksen jälkeen kun ruudulle ei
katsota, hyökkääjä voi ajaa haluamansa kommennot koneella
ja ottaa sen täysin haltuunsa.

Suositeltavat toimenpiteet:

HETI:
1. Päivitä tällä työkalulla Logitech Firmware Updating Tool
2. Päivitä uudelleen heti kun korjaukset tulevat. Tieto korjauksista tulee tänne: Logitech Unifying Receiver Update
3. Älä uudelleen parita logitech laitteita (koskaan).

VIIKON SISÄÄN:
4. Poista käyttäjiltä oikeudet ja työkalut (=Logitech Unifying Software) joilla uudelleen parittaa mitään. Kohta 2.
5. Logitech wireless näppikset kiertoon ja langalliset tilalle.
6. Jos on aivan pakko lisätä (=parittaa) laite johonkin toiseen vastaanottimeen, niin tee se läppärillä joka ei ole kytketty internettiin, autossa, moottoritiellä, ajonopeudella vähintään 130 km/h.

 

[leripe]

4. Juuh poistappa käyttäjiltä admin oikeudet herran intunen yms vuonna.

 

[Marti77]

Koitin huvikseen löytää unifying vastaanottimeen päivityksen setpoint ohjelmiston kautta sieltä unifying ohjelmistoon mutta ei löytänyt.
Logitech foorumin kautta löytyi ohjelma millä sai sen päivitetty.

 

[user9999]

Logitech Unifying Receiver Update

New firmware available
A firmware update for the Unifying technology USB receiver was released on the 28th August, 2019. This addresses the reported 'Encryption Key Extraction Through USB' vulnerability (known as CVE-2019-13054/55).

• For PC or Mac users: You can download a simple updating tool here: https://support.logi.com/hc/articles/360035037273
• Enterprise customers: You can download a centrally deployable tool for PC here: https://download01.logi.com/web/ftp/pub/techsupport/keyboards/Script DFU Tool.zip (Mac support will be added shortly)

 

[Dudem]

Piti testata oliko tuo K400+ tuettuna ja kyllähän se työkalun mukaan sai päivityksen.

 

[Marti77]

Itse sain myös päivitetty ainakin K800 näppäimistön unifying vastaanottimen.

 

[Raikku]

Itsellä ei linkki vie mihinkään, mikä ohjelma se on siellä downloads osiossa?

 

[aiwan]

Itsellä ei linkki vie mihinkään, mikä ohjelma se on siellä downloads osiossa?

Firmware Update Tool 1.2.169 - 2019-08-20

Tästä linkistä pitäisi löytyä ja ainakin täällä päivitykset onnistui Firmware Update Tool

 

[TenderBeef]

Olkaapa tarkkoja sen päivityksen kanssa; itsellä meni uudempi unifying nätisti päivityksestä läpi, mutta pikkaisen vanhempi ei. Se update tunnistaa että päivitys olisi tehtävä ja sitä yrittää mutta tulee virhe (oliko?) 96% kohdalla. Automaattisesti se yrittää uudestaan ja se menee mukamas läpi onnistuneesti, mutta kun sen updaten ajaa uudestaan niin se sanoo taas että päivitys olisi tehtävä, jne, sama rumba toistuu. Eli päivitys ei mennyt tuohon vanhempaan dongleen ollenkaan.

Tuolla Logitechin sivulla kommenttiosiossa on muitakin ongelmia ihmisillä ollut, jollain oli lakannut toimimasta kokonaan kun jonkun pätsin oli ajanut sisään, ja sen sellaista mukavaa. Eikä tämä pätsi siis korjannut kaikkia ongelmia kun Logitech katsoo, että niiden korjaus "would negatively impact interoperability with other Unifying devices"! Lisäksi ei kait ole mitään hajua mitä ei-unifying-donglejen kanssa pitäisi tehdä, ilmeisesti ne pitäisi heittää heti roskiin kun niitä ei voi päivittää mitenkään. Itsellänikin oli yksi tuollainen "nano-receiver" (jossa tosin oli oranssi "unifying" logo mutta ei siis ole unifying). Hyvä Logitech. Vastuullinen firma ja loistavasti kehitellyt täysin reikäiset systeemit eikä pätsää kaikkia. Joku tuolla foorumilla taisi kirjoitella jotain siitä miten uusissakin myydyissä dongleissa on ollut vielä vanhoja MouseJack-reikiä pätsäämättä.