Logitech Tastaturen und Mäuse angreifbar

[English]Funktastaturen und –mäuse der Firma Logitech oder der Wireless Presenter sind angreifbar. In den per Funk angebundenen Geräten gibt es schwere Sicherheitslücken. Hinweis: Ich habe den Artikel inzwischen um weitere Informationen ergänzt.

Es ist ein ganzes Arsenal an Logitech-Peripheriegeräten, welches über Funk an Rechner angebunden werden kann. Alle diese Peripheriegeräte verwenden den gleichen Unifying-USB-Funkempfänger zur Kopplung. Und diese Funkverbindung ist über Sicherheitslücken im Übertragungsprotokoll angreifbar.

Datenabgriff und Befehlseingaben möglich

Durch die Schwachstellen ist es möglich, in den Datenverkehr dieser Peripheriegeräte einzudringen und die Daten abzugreifen. Dadurch wäre es möglich, eine Funktastatur auf Tastenanschläge zu prüfen und so ggf. Kennworteingaben abzugreifen.

KRITIS-Netzwerk
(Quelle: Pexels Markus Spiske CC0 Lizenz)

Alternativ besteht die Möglichkeit, dass Angreifer sich über die Funkverbindung als Peripheriegerät ausgeben und dann eigene Befehle an den Rechner senden. So ließe sich ein System kompromittieren.

Security-Experte deckt das Ganze auf

Die Schwachstellen wurden vom Security-Experten Marcus Mengs identifiziert, der seine Erkenntnisse mit heise teilte. Laut heise sind alle Logitech-Geräte, die mit der Unifying-Funktechnik im 2,4 GHz-Bereich arbeiten, angreifbar.

Diese Unifying-USB-Empfänger werden seit 2009 bis heute mit kabellosen Tastaturen und Mäusen bei Einsteigerprodukten und Spitzenmodellen ausgeliefert. Betroffenen USB-Receiver erkennt man an einem kleinen orangefarbenen Logo mit einem Stern, welches auf dem Gehäuse aufgedruckt ist. Der nachfolgende Tweet zeigt eine Abbildung.

Heise hat diesen Artikel zum betreffenden Thema mit weiteren Details veröffentlicht.

Ergänzung: Das Ganze wurde wohl im Rahmen einer koordinierten Offenlegung veröffentlicht, d.h. Logitech ist über die Sachlage informiert. Mengs hat die betreffenden Informationen auf GitHub eingestellt, wie ich diesem Tweet entnehme.

Dieser GitHub-Artikel führt wesentlich detaillierter aus, was an Angriffen möglich ist, als das was heise in seinem Beitrag aufbereitet hat. So können sich auch Funk-Mäuse und Presenter als ‘Funktastaturen’ ausgeben und Befehle an das gekoppelte Gerät senden. Die Angreifbarkeit der Logitech-Peripherie hängt dabei vom Patchstand der Komponenten ab. Auf Twitter hat Marcus Mengs bereits im Februar 2019 ein Proof of Concept samt Video veröffentlicht.

Da Logitech damals das Ganze noch untersuchte, hatte Mengs seinerzeit keine weiteren Details offen gelegt. In einer Folge von Tweets hat Mengs seine Timeline für die Veröffentlichung publik gemacht hat.

Mittlerweile sind den Schwachstellen CVE-Nummern (z.B. CVE-2019-1305, CVE-2019-13055 etc.) zugeordnet. Auf GitHub hat er zu den einzelnen Angriffsvektoren Details veröffentlicht.

Problem: Veraltete Firmware, seit 2016 bekannt

Hier ein Beispiel, wo der Hase teilweise im Pfeffer liegt. Drahtlose Logitech-Tastaturen verschlüsseln zwar ihre Tastenanschläge, bevor sie an den Empfänger gesendet werden. Es wird sogar eine benutzerdefinierte AES CTR-Implementierung wird verwendet, um zu verhindern, dass ein Angreifer beliebige Tastenanschläge einspeist. Die Implementierung von Unifying-Empfängern mit veralteter Firmware hat mehrere Probleme:

  • Der Empfänger erzwingt keine Inkrementierung des AES CTR-Zählers für aufeinanderfolgende RF-Frames. Dies ermöglicht Wiederholungsangriffe und die Wiederverwendung des Zählers mit einem modifizierten Chiffriertext.
  • Ist der Klartext eines Tastenanschlags einer verschlüsselten Tastatur-RF-Frames bekannt, könnte ein Angreifer damit den Schlüssel , mit dem der Frame mit diesem spezifischen Zähler verschlüsselt wurde, berechnen bzw. wiederherstellen.

Lange Rede, kurzer Sinn: Letztendlich ist der Angreifer in der Lage, den jeweiligen RF-Frame mit neuem Klartext (andere Tastendrücke) zu modifizieren. In Kombination mit der Möglichkeit, den Zähler wiederzuverwenden, könnte der Angreifer beliebige Tastenanschläge in die Funkverbindung injizieren. Das Problem besteht bei Unifying-Empfängern, die nicht gegen die jeweilige Schwachstelle gepatcht wurden. Diese Schwachstelle wurde bereits 2016 von Bastille-Research als „KeyJack“ bezeichnet. Dies ist also ein gutes Beispiel für eine Schwachstelle, die nicht direkt vom Gerät abhängt.

Mengs hat nun damit begonnen, auf Twitter weitere Informationen und Grafiken, wie in oben gezeigtem Tweet zu veröffentlichen.

Ergänzung: Catalin Cimpanu hat gerade damit begonnen, einige Infos zu veröffentlichen. Logitec will nur zwei der Schwachstellen zum 2. August 2019 schließen.

Wireless Presenter ebenfalls angreifbar

Ich hatte es mitbekommen, und Blog-Leser hatten mich darauf hingewiesen. Aber oft stehen so viele Themen an, dass mir die Zeit fehlt. Dass der Wireless Presenter über Funk angreifbar ist und die gleichen Schwachstellen aufweist, hatte heise vor einigen Wochen im Beitrag Logitech Wireless Presenter über Funk angreifbar thematisiert. Laut Mengs akzeptieren die meisten Logitech-Präsentations-Klicker (z.B. R400, R700, R800) einfache Tastenanschläge.

Das Einzige, was ein Angreifer benötigt, um sich als das eigentliche Gerät auszugeben, ist die verwendete RF-Adresse. Diese Adresse könnte durch die Überwachung des RF-Verkehrs entdeckt werden (pseudopromiskuitiver Modus, wie von Travis Goodspeed oder Software Defined Radio vorgeschlagen). Sobald die Adresse bekannt ist, kann der Angriff direkt durchgeführt werden. Details finden sich ebenfalls im gerade frisch veröffentlichten GitHub-Beitrag.

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Logitech Tastaturen und Mäuse angreifbar

  1. RUTZ-AhA sagt:

    Ich habe im Gerätemanager nachgesehen. Tastatur und Maus werden mit HID Treibern von Win7 betrieben, einschließlich USB Host Controllern. Der Unifying Stick wird nirgendwo angezeigt, oder erwähnt.
    Die Unifying Software habe ich auch gar nicht installiert, alles funktioniert auch so.
    Und Umgang mit Kriminellen pflege ich grundsätzlich nicht :-)

    Und die zusätzliche SetPoint Software habe ich ebenfalls nicht installiert. Die wird nur benötigt, wenn mehrere Geräte angesteuert werden sollen.

  2. Tony sagt:

    Ich habe gestern folgende Hardware IDs mit etwas PowerShell-Spielerei herausgefunden, die man per GPO blocken könnte:

    HID\VID_046D&PID_C52B
    USB\VID_046D&PID_C52B

    Ich habe mit zwei Adaptern getestet und es waren die selben IDs. Mein Plan war nun, ein kleines Tool an einige Kollegen rauszugeben, damit ich die IDs ihrer Unifying Adapter bekomme um eventuell weitere IDs zu sammeln. Problem: Mein Script, das gestern noch die oben stehenden plausiblen IDs auswarf, wirft heute Storage Devices und anderen Kram, dem ich nicht traue.

    Falls jemand probieren möchte:
    $HWa = Get-PnpDevice -PresentOnly | Select-Object InstanceId
    –> Adapter ziehen bzw. stecken
    $HWb = Get-PnpDevice -PresentOnly | Select-Object InstanceId
    Compare-Object -ReferenceObject $HWa -DifferenceObject $HWb -PassThru

  3. Picard87 sagt:

    Das ganze ist aber kein Software oder Treiber Problem. Selbst wenn man nix von Logitech an Software oder Treibern verwendet besteht die Lücke, weil sie in der Firmware des Unify Empfängers und im Übertragungsprotokoll besteht. Also trotzdem das Update mit den verlinkten Programmen machen, dauert keine 10 Sekunden. Schwerer wiegt (im geschäftlichen Bereich), dass Logitech nicht alle Lücken patchen MÖCHTE, weil sonst die Kompatibilität verloren ginge. Hier sollte Logitech schleunigst einen neuen Empfänger entwickeln und notfalls einen harten Bruch mit bisherigen Gerätegenerationen vornehmen.

  4. Dekre sagt:

    Es verwundert mich nicht. Ich stimme auch @Picard87 zu, dass es ein Problem mit Unify ist.

    Ohne Strippe rumzulaufen und so leicht wie eine Daunenfeder durch den Alltag zu schweben, birgt eben Risiken. Egal ob Funkmäuse oder deren Tastaturen, „Alexa“, W-Lan, Blauzahn-Technik oder sonstiges strippenlose Gerät.

    Ich weiß auch nicht warum jetzt andere aufgeregt sind. Es gibt eine sog. DSGVO der EU. Was macht das aus? Antwort: NICHTS. Gut, nach den neuen Artikel soll British Airways mächtig viel Geld abdrücken. Warum geht man nicht auf die Regierungen eines Landes zu, so Deutschland, die massiv fazebuk und anderes prolongieren und der öffentliche Rundfunk massiv das Spionagegerät „Alexa“ promotet.

    Die DSGVO wird generell nicht eingehalten und vor allem nicht von der EU. Ich werde immer sauerer.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert