Logitech Geräte erneut mit Sicherheitsproblemen

Verfasst von

Bild: Logitech Unifying by MiNe| Quelle: Flickr | Lizenz: CC BY 2.0

Fast jeder hat das ein oder andere Logitech-Gerät zu Hause. Wenn es sich dabei um kabellose Funk-Tastaturen und -Mäuse handelt, so ist derzeit Vorsicht geboten. Nicht zum ersten Mal ist die Firmware der per Unifying-USB-Empfänger angebundenen und millionenfach verbreiteten Geräte verwundbar.

Logitech-Geräte erneut angreifbar

Kürzlich hat der Sicherheits-Experte Marcus Mengs erneut Sicherheitslücken in Tastaturen und Mäusen von Logitech entdeckt. Wie Mengs anschließend demonstrierte, können die Lücken mit geringem Aufwand ausgenutzt werden und erlauben das Abfangen von Tastatureingaben ebenso wie die Eingabe von eigenen Befehlen auf der Tastatur und eigener Mausklicks.

Angriff für unter 10 Euro

Mengs entwickelte für seine Analysen eine Angriffsmethode in Form der Software LogiTracker, die auf einigen verbreiteten USB-Funk-Sticks von Nordic, MakerDiary oder April mit dem Chip nRF52840 von Nordic Semiconductor installiert wird. Diese sind teils für unter 10 Euro im Handel zu haben.

Because of arising discussion, due to media releases on Logitech research, I decided to publish the related content today (raw documents, vendor reports, slide deck from talk, PoC tools).

LOGITacker will be released on Thursday.https://t.co/FPEks2NKky
— Marcus Mengs (@mame82) July 9, 2019

Patch im August

Logitech arbeitet mittlerweile an der Schließung der Lücken, eine aktualisierte Firmware soll im August veröffentlicht werden. Zwei Lücken bleiben auch dann weiterhin offen, da Logitech diese derzeit nicht schließen kann, ohne die Kompatibilität der Unifying-Geräte untereinander zu gefährden. Derweil hilft es bereits teilweise, wenn zumindest die derzeit aktuellste Firmware aufgespielt ist.

Firmware unter Linux aktualisieren

Aber, Hand aufs Herz, wer aktualisiert schon Firmware für Mäuse und Tastaturen? Logitech stellt dafür jedenfalls für Windows und macOS ein Update-Tool bereit. Linux-Anwender haben es, wie so oft, wesentlich einfacher. Sie brauchen lediglich einen Befehl einzugeben, vorausgesetzt, das Paket fwupd ist installiert. Dieses Paket arbeitet mit dem Linux Vendor Firmware Service (LVHS) zusammen, über den ich bereits mehrfach berichtet habe. Für mich eine der besten Erfindungen seit dem sprichwörtlichen geschnitten Brot.

Fwupd erlaubt unter anderem die Aktualisierung von UEFI auf am LVHS teilnehmenden Notebooks von Dell und Lenovo, von SSDs, Logitech Unified Receivern und andere Hardware. Einfacher als bei Linux geht’s kaum.

fwupd

Kommentare

12 Antworten zu „Logitech Geräte erneut mit Sicherheitsproblemen“

2019-07-25

axt

> wer aktualisiert schon Firmware für Mäuse und Tastaturen?

Ich flashe „alles“. 😀

Hier geht’s aber nicht um Mäuse und Tastaturen (und Pointer), die bleiben unangetastet, sondern deren Empfänger.

Ohne manuellen Eingriff wie in Deinem Fall geht das Flashen mit fwupdmgr aber nicht bei jedem Unifying-Modell bzw. der jeweiligen FW durch (bei einem „not-child“-Abbruch ist ein bestimmter Bereich auszukommentieren, durchexerziert vor 2 1/2 Wochen, jaja, so alt ist dieses Thema schon… 8-)).

Es sei noch darauf hingewiesen, daß es sich nur um Empfänger mit dem abgebildeten Ruder-Symbol handelt, die gleich aussehenden nano-Empfänger ohne dieses Symbol basieren auf einer anderen Technik (und BT, erkennbar an dessem blauen Logo, sowieso).

Antworten
2019-07-26

Uwe

Kabelloses Equipment Tastatur/Maus. Mhm.
Ich seh da sowieso keinen Vorteil drin. Teuer, Akku laden/Batteriewechsel, nun Sicherheitsprobleme. Da bin ich froh über meine AT Escom Tastatur plus PS/2-Adapter und die V7 Maus/PS2.

Antworten
1. 2019-07-26
  
  Ferdinand
  
  Bei Tastatur stimme ich dir zu, meine wird nicht bewegt und hat somit ein Kabel. Eine Maus mit Kabel würde ich nie wieder verwenden, das Kabel ist immer im Weg. Ich verwende eine Logitech MX Master 2S. Dieses Modell verfügt über einen Akku, der alle paar Wochen per USB aufgeladen wird. Bei Logitech muss man halt immer die Firmware im Auge behalten. Aber wie in der News erwähnt, ist das unter Linux denkbar einfach.
  
  Antworten
2019-07-26

Any

Du hast einen kleinen Schreibfehler im Artikel, dass Programm heißt fwupd, nicht fwudp.

Danke für den Artikel :)!

Antworten
1. 2019-07-26
  
  Ferdinand
  
  Ups, danke. Abkürzungen verhau ich öfter mal wenn sie mehrfach in einem Artikel vorkommen.
  
  Antworten
2019-07-26

Uwe

> Hier geht’s aber nicht um Mäuse und Tastaturen (und Pointer), die bleiben unangetastet, sondern deren Empfänger.

Ich denke mal, wenn nur die Firmware des Empfängers gepatcht wird und die Funktastatur nach wie vor mit schwacher Verschlüsselung (oder gar ohne) seine Daten in die Umgebung sendet, können die Tastatureingaben auch weiterhin abgefangen werden. Sicher wäre dann nur, konsequent auf Funk zu verzichten, zumindest bei der Tastatur. Funktastaturen haben mich damals schon tierisch genervt, als ich mitten im Chat war und viele Zeichen einfach verschluckt wurden, aber am Wochenende gerade keine neuen Batterien im Hause waren. Bei mir kommt jedenfalls keine mehr ins Haus, egal ob Logitech oder andere Marke.

Antworten
2019-07-26

Klaus Meier

Und was muss man tun, damit fwupd funktioniert?

Ich habe das jetzt mal bei Gentoo und Manjaro ausprobiert, beides Mal das gleiche Ergebnis:
fwupdmgr get-updates
No releases found for device: Not compatible with bootloader version: failed predicate [BOT03.0[0-1]_* regex BOT03.02_B0009]

Ich habe auch die Logitech MX Master 2, das Teil ist einfach sensationell!

Und ansonsten haut das Heise mal wieder voll auf die Kacke. Da geht wohl auch viel durcheinander. Man braucht den Key, der im Empfänger gespeichert ist und dazu muss man ein Pairing auslösen. Dieses Pairing ist aber nur über sehr geringe Entfernung möglich, die wesentlich geringer ist als die normale Datenübertragung. Man kann also davon ausgehen, dass diese Lücke nur ausgenutzt werden kann, wenn der Angreifer einmal kurzfristig direkt neben dem Rechner stand. Also die Möglichkeit eines physikalischer Zugriffs, auch wenn der da nicht gebraucht wird. Aber wenn ich eh die Möglichkeit habe, einen USB-Stick in einen Rechner zu stecken, dann ist eh alles offen.

Antworten
1. 2019-07-26
  
  Ferdinand
  
  Da gibt es ab und an noch Probleme, hier ist deines: https://github.com/hughsie/fwupd/issues/1065. Unter Fedora und Debian hatte ich bisher kaum welche.
  
  Antworten
2019-07-26

Klaus Meier

Danke Ferdinand, den von dir verlinkten Eintrag habe ich auch schon gefunden, nur fehlt es da an der Lösung. Muss ich wohl davon ausgehen, dass es bei mir noch nicht funktioniert. Dann werfe ich jetzt mal Windows an.

Antworten
1. 2019-07-26
  
  Ferdinand
  
  Hughsie schreibt dazu auf https://github.com/hughsie/fwupd/issues/1244: »Okay, this slightly bad error message is actually correct; fwupd is going through the list of firmware that can be applied to this device, and only finds the non signed firmware version which it correctly refuses to install. The „signed“ firmware that is designed for these later bootloader device versions isn’t „stable“ on the LVFS« Vielleicht hilfts ja weiter.
  
  Antworten
2019-07-30

Uwe

Hier von c’t mehr über diese Sicherheitslücke, Beitrag auf deutsch: https://www.youtube.com/watch?v=5PpZMdVrmQc

Antworten
2019-08-23

axt

> Logitech arbeitet mittlerweile an der Schließung der Lücken, eine aktualisierte Firmware soll im August veröffentlicht werden.

Jaja, die Urlaubszeit, die der User und bei LT sowieso. Extra weit weg und schwammig „im August“. Da hat man das Problem doch längst verdrängt durch irgendwelche anderen anderer.

Wenn es da nicht fiese Leute geben würde, die eben nicht vergessen.

„fwupdmgr get-updates“ ergibt „No upgrades for Unifying Receiver, current is (…)“.

In 8 Tagen wird man sich vll. bei LT sagen, „Mist, wir hätten gleich ‚im Sommer‘ oder ‚im 3. Quartal‘ sagen sollen“. Oder einfach, daß sie wohl keine Lust haben, ihre Produkte wenigstens halbwegs zu fixen. Nicht mal bei Gefahr im Verzug (und da erwarte ich umgehend).

Antworten