Logitech: Viele Funk-Tastaturen und Mäuse sind angreifbar
Wie die c't berichtet, lassen sich kabellose Eingabegeräte wie Mäuse, Tastaturen und Presenter von Logitech über eine Sicherheitslücke im Unifying-Receiver weitreichend manipulieren. Tasteneingaben können abgehört und Systeme mit Schadprogrammen infiziert werden. Geeignete Schutzmaßnahmen gestalten sich hingegen schwierig.
Folgende Logitech-Produkte sind betroffen
Grundsätzlich sind alle Logitech-Produkte betroffen, die den Unifying-Receiver und die Unifying-Funktechnik nutzen. Seit 2009 liefert Logitech sowohl seine Einsteigergeräte als auch seine hochpreisigen Gaming-Serien mit dem kleinen USB-Empfänger aus, so gut wie alle kabellosen Eingabegeräte des Unternehmens sind daher betroffen. Prominente Vertreter sind unter anderem die Gaming-Mäuse aus der Lightspeed-Serie, der Wireless Presenter R500 und eine Vielzahl an Tastaturen. Der Logitech-Unifying-Receiver selbst ist leicht am orangefarbenen Logo erkennbar.
Logitech stellt Kompatibilität über Sicherheit
Die Sicherheitslücke CVE-2019-13053 ermögliche dem Angreifer, Tastatureingaben in den Funkverkehr einer Tastatur einzuschleusen, ohne den Krypto-Schlüssel zu kennen. CVE-2019-13052 wiederum soll das Entschlüsseln der Kommunikation der Eingabegeräte erlauben, sofern vom Angreifer der Pairing-Prozess mitgeschnitten wurde. Zwei weitere Lücken betreffen das Auslesen des Krypto-Schlüssels bei Unifying-Receivern und Presentern.
Einige der Sicherheitslücken lassen sich nicht ohne Weiteres schließen, da sonst die Kompatibilität der Produkte untereinander und mit dem Unifying-Receiver nicht mehr gewährleistet ist. Über den Unifying-Funkstandard lassen sich bis zu sechs Eingabegeräte über nur einen Receiver betreiben, egal ob es sich hierbei um aktuelle oder zehn Jahre alte Produkte handelt. Die Kompatibilität der Logitech-Produkte untereinander sei über die Sicherheitsaspekte gestellt worden.
Trotz neuer Firmware angreifbar
Obwohl besorgte Anwender den Stand der Firmware mit der Unifying-Software prüfen und mit dem Firmware Update Tool (SecureDFU) aktualisieren können, ist es Logitech bis heute nicht gelungen, alle Sicherheitslücken zu schließen. Logitech selbst empfiehlt die Eingabegeräte so aufzubewahren, dass Dritte nicht physisch auf sie zugreifen oder sie manipulieren können. In der Praxis lässt sich das indes nur schwer umsetzen, dann müssten alle Eingabegeräte weggeschlossen werden.