Logitech Unifying: Sicherheits-Patch schon ausgetrickst

Die Geschichte der Sicherheitslücken in Logitechs Unifying-Funktechnik ist offenbar noch nicht zu Ende erzählt: Wie der Security-Experte Marcus Mengs gegenüber heise Security erklärte, lässt sich das jüngst von Logitech veröffentlichte Sicherheits-Patch, welches eine der Schwachstellen beseitigen soll, wohl relativ einfach austricksen.

Das Firmware-Update soll verhindern, dass man den zur Verschlüsselung der Funkverbindung genutzten Krypto-Schlüssel einfach per USB aus dem Unifying-Receiver auslesen kann. Das tut es auch. Was es allerdings nicht verhindert ist ein Downgrade auf eine alte, verwundbare Firmware. Anschließend ist der Krypto-Key wieder auslesbar. Um keine Spuren zu hinterlassen, kann der Angreifer den Empfänger danach wieder auf den aktuellen Firmwarestand bringen.

Mit dem Key kann der Angreifer anschließend aus der Distanz die Funkkommunikation der Eingabegeräte in Echtzeit entschlüsseln und nicht nur sensible Tastatureingaben mitlesen, sondern auch eigene Befehle an den Rechner seines Opfers senden. Durch das Einschleusen von Tastenbefehlen kann der Angreifer das System auch mit Schadsoftware infizieren.

Update zögert den Angriff nur hinaus

Laut Mengs bewirkt das Firmware-Update lediglich, dass der Angriff länger dauert. Statt zuvor einer Sekunde muss der Angreifer durch das notwendige Downgrade nun etwa 30 Sekunden warten, ehe der Krypto-Schlüssel extrahiert ist. Teil des Problems ist laut Mengs, dass die Empfänger zwar teilweise checken, ob die Signatur der Firmware-Datei gültig ist. Der Bootloader prüfe jedoch nicht, ob die zu installierende Version aktueller als die bereits vorhandene ist.

Deshalb ist ein Downgrade dem Security-Experten zufolge problemlos möglich. Der Angreifer benötigt lediglich eine signierte Firmware-Datei in einer anfälligen Version. Eine solche kann er sich mühelos im Netz besorgen. Betroffen sind neben den Unifying-Geräten auch die drahtlosen Gaming-Produkte der G-Series Lightspeed, wie Mengs gegenüber heise Security erklärt.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.

Videos immer laden Video jetzt laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Unterm Strich ändert sich für Besitzer drahtloser Eingabegeräte von Logitech wenig: Denn neben der eigentlich durch das Firmware-Update gepatchten Schwachstelle klaffen im Unifying-Funkprotokoll noch zwei weitere bekannte Sicherheitslücken, nämlich CVE-2019-13053 und CVE-2019-13052. Auch darüber kann der Angreifer sowohl Tasteneingaben mitlesen als auch eigene Befehle einschleusen. Diese Lücken wird Logitech nach derzeitiger Planung auch in Zukunft nicht schließen, da der Hersteller ansonsten die Kompatibilität innerhalb der Unifying-Produktreihe nicht länger gewährleisten kann.

Nutzer müssen umdenken

Die meisten der von Marcus Mengs entdeckten Unifying-Schwachstellen erfordern einen kurzzeitigen physischen Zugriff. Das macht sie allerdings nicht weniger problematisch, denn die Angriffe dauern lediglich wenige Sekunden. Der Angreifer muss also nur sehr kurz auf den USB-Funkempfänger oder das Eingabegerät zugreifen, um die Funkverbindung dauerhaft aus der Distanz attackieren zu können. In einem belebten Büro dürfte dies keine größere Hürde sein.

Für die Nutzer bedeuten die Anfälligkeiten ein Umdenken im Umgang mit der Logitech-Hardware. Wer sich vor Funkangriffen über Unifying schützen will, muss sicherstellen, dass sich keine unbefugten Personen der Hardware nähern können. Bestenfalls schließt man sowohl den Funkempfänger als auch das Eingabegerät – also Maus, Tastatur oder Wireless Presenter – ein, sobald man das Büro verlässt.

Lesen Sie hierzu auch:

• Angreifbare Logitech-Tastaturen: Antworten auf die dringendsten Fragen

(rei)