[English]Funktastaturen und –mäuse der Firma Logitech oder der Wireless Presenter sind angreifbar. In den per Funk angebundenen Geräten gibt es schwere Sicherheitslücken. Hinweis: Ich habe den Artikel inzwischen um weitere Informationen ergänzt.
Es ist ein ganzes Arsenal an Logitech-Peripheriegeräten, welches über Funk an Rechner angebunden werden kann. Alle diese Peripheriegeräte verwenden den gleichen Unifying-USB-Funkempfänger zur Kopplung. Und diese Funkverbindung ist über Sicherheitslücken im Übertragungsprotokoll angreifbar.
Datenabgriff und Befehlseingaben möglich
Durch die Schwachstellen ist es möglich, in den Datenverkehr dieser Peripheriegeräte einzudringen und die Daten abzugreifen. Dadurch wäre es möglich, eine Funktastatur auf Tastenanschläge zu prüfen und so ggf. Kennworteingaben abzugreifen.
(Quelle: Pexels Markus Spiske CC0 Lizenz)
Alternativ besteht die Möglichkeit, dass Angreifer sich über die Funkverbindung als Peripheriegerät ausgeben und dann eigene Befehle an den Rechner senden. So ließe sich ein System kompromittieren.
Security-Experte deckt das Ganze auf
Die Schwachstellen wurden vom Security-Experten Marcus Mengs identifiziert, der seine Erkenntnisse mit heise teilte. Laut heise sind alle Logitech-Geräte, die mit der Unifying-Funktechnik im 2,4 GHz-Bereich arbeiten, angreifbar.
Diese Unifying-USB-Empfänger werden seit 2009 bis heute mit kabellosen Tastaturen und Mäusen bei Einsteigerprodukten und Spitzenmodellen ausgeliefert. Betroffenen USB-Receiver erkennt man an einem kleinen orangefarbenen Logo mit einem Stern, welches auf dem Gehäuse aufgedruckt ist. Der nachfolgende Tweet zeigt eine Abbildung.
If you want to determine if your Logitech dongle is vulnerable (using the Unifying RF tech), all vulnerable dongles have this orange star on their side. pic.twitter.com/sSTiE2H2ik
— Catalin Cimpanu (@campuscodi) 9. Juli 2019
Heise hat diesen Artikel zum betreffenden Thema mit weiteren Details veröffentlicht.
Ergänzung: Das Ganze wurde wohl im Rahmen einer koordinierten Offenlegung veröffentlicht, d.h. Logitech ist über die Sachlage informiert. Mengs hat die betreffenden Informationen auf GitHub eingestellt, wie ich diesem Tweet entnehme.
Summary of new/old Logitech vulnerabilitieshttps://t.co/CQ5ZFQolPX
Disclosure timeline:https://t.co/DPWeADQtYf
— Marcus Mengs (@mame82) 8. Juli 2019
Dieser GitHub-Artikel führt wesentlich detaillierter aus, was an Angriffen möglich ist, als das was heise in seinem Beitrag aufbereitet hat. So können sich auch Funk-Mäuse und Presenter als ‘Funktastaturen’ ausgeben und Befehle an das gekoppelte Gerät senden. Die Angreifbarkeit der Logitech-Peripherie hängt dabei vom Patchstand der Komponenten ab. Auf Twitter hat Marcus Mengs bereits im Februar 2019 ein Proof of Concept samt Video veröffentlicht.
Logitech Unifying PoC2: After the PoC of eavesdropping a fully patched link encrypted Unifying device, here’s another one for Keystroke injection on hardware where MouseJack issues have been addressed with current patcheshttps://t.co/t3wOHkTvdE
— Marcus Mengs (@mame82) 12. Februar 2019
Da Logitech damals das Ganze noch untersuchte, hatte Mengs seinerzeit keine weiteren Details offen gelegt. In einer Folge von Tweets hat Mengs seine Timeline für die Veröffentlichung publik gemacht hat.
Announcement: Disclosure timeline for material from Logitech vulnerability research:
— Marcus Mengs (@mame82) 27. Juni 2019
2) Hardwaretool LOGITacker, about 2 weeks
– firmware for nrf52840 dongle
– no external software needed
– forced pairing
– sniff device pairing and derive encryption keys
– encrypted and plain keystroke injection
– devices discovery and storage
– bypass for input filters
– source— Marcus Mengs (@mame82) 27. Juni 2019
Mittlerweile sind den Schwachstellen CVE-Nummern (z.B. CVE-2019-1305, CVE-2019-13055 etc.) zugeordnet. Auf GitHub hat er zu den einzelnen Angriffsvektoren Details veröffentlicht.
Problem: Veraltete Firmware, seit 2016 bekannt
Hier ein Beispiel, wo der Hase teilweise im Pfeffer liegt. Drahtlose Logitech-Tastaturen verschlüsseln zwar ihre Tastenanschläge, bevor sie an den Empfänger gesendet werden. Es wird sogar eine benutzerdefinierte AES CTR-Implementierung wird verwendet, um zu verhindern, dass ein Angreifer beliebige Tastenanschläge einspeist. Die Implementierung von Unifying-Empfängern mit veralteter Firmware hat mehrere Probleme:
- Der Empfänger erzwingt keine Inkrementierung des AES CTR-Zählers für aufeinanderfolgende RF-Frames. Dies ermöglicht Wiederholungsangriffe und die Wiederverwendung des Zählers mit einem modifizierten Chiffriertext.
- Ist der Klartext eines Tastenanschlags einer verschlüsselten Tastatur-RF-Frames bekannt, könnte ein Angreifer damit den Schlüssel , mit dem der Frame mit diesem spezifischen Zähler verschlüsselt wurde, berechnen bzw. wiederherstellen.
Lange Rede, kurzer Sinn: Letztendlich ist der Angreifer in der Lage, den jeweiligen RF-Frame mit neuem Klartext (andere Tastendrücke) zu modifizieren. In Kombination mit der Möglichkeit, den Zähler wiederzuverwenden, könnte der Angreifer beliebige Tastenanschläge in die Funkverbindung injizieren. Das Problem besteht bei Unifying-Empfängern, die nicht gegen die jeweilige Schwachstelle gepatcht wurden. Diese Schwachstelle wurde bereits 2016 von Bastille-Research als „KeyJack“ bezeichnet. Dies ist also ein gutes Beispiel für eine Schwachstelle, die nicht direkt vom Gerät abhängt.
To help in a discussion, excerpt from material which will be disclosed on Thursday pic.twitter.com/xRUAmVC5yg
— Marcus Mengs (@mame82) 8. Juli 2019
Mengs hat nun damit begonnen, auf Twitter weitere Informationen und Grafiken, wie in oben gezeigtem Tweet zu veröffentlichen.
Researcher found 4 new vunerabilities. Logitech said it will patch only 2, in August 2019.
CVE-2019-13052 and CVE-2019-13053 will not be patched. CVE-2019-13054 and CVE-2019-13055 to receive patches.
All vulns allow passive keystroke sniffing and active keystroke injections
— Catalin Cimpanu (@campuscodi) 9. Juli 2019
Ergänzung: Catalin Cimpanu hat gerade damit begonnen, einige Infos zu veröffentlichen. Logitec will nur zwei der Schwachstellen zum 2. August 2019 schließen.
Wireless Presenter ebenfalls angreifbar
Ich hatte es mitbekommen, und Blog-Leser hatten mich darauf hingewiesen. Aber oft stehen so viele Themen an, dass mir die Zeit fehlt. Dass der Wireless Presenter über Funk angreifbar ist und die gleichen Schwachstellen aufweist, hatte heise vor einigen Wochen im Beitrag Logitech Wireless Presenter über Funk angreifbar thematisiert. Laut Mengs akzeptieren die meisten Logitech-Präsentations-Klicker (z.B. R400, R700, R800) einfache Tastenanschläge.
Das Einzige, was ein Angreifer benötigt, um sich als das eigentliche Gerät auszugeben, ist die verwendete RF-Adresse. Diese Adresse könnte durch die Überwachung des RF-Verkehrs entdeckt werden (pseudopromiskuitiver Modus, wie von Travis Goodspeed oder Software Defined Radio vorgeschlagen). Sobald die Adresse bekannt ist, kann der Angriff direkt durchgeführt werden. Details finden sich ebenfalls im gerade frisch veröffentlichten GitHub-Beitrag.
Ich habe im Gerätemanager nachgesehen. Tastatur und Maus werden mit HID Treibern von Win7 betrieben, einschließlich USB Host Controllern. Der Unifying Stick wird nirgendwo angezeigt, oder erwähnt.
Die Unifying Software habe ich auch gar nicht installiert, alles funktioniert auch so.
Und Umgang mit Kriminellen pflege ich grundsätzlich nicht :-)
Und die zusätzliche SetPoint Software habe ich ebenfalls nicht installiert. Die wird nur benötigt, wenn mehrere Geräte angesteuert werden sollen.
Ich habe gestern folgende Hardware IDs mit etwas PowerShell-Spielerei herausgefunden, die man per GPO blocken könnte:
HID\VID_046D&PID_C52B
USB\VID_046D&PID_C52B
Ich habe mit zwei Adaptern getestet und es waren die selben IDs. Mein Plan war nun, ein kleines Tool an einige Kollegen rauszugeben, damit ich die IDs ihrer Unifying Adapter bekomme um eventuell weitere IDs zu sammeln. Problem: Mein Script, das gestern noch die oben stehenden plausiblen IDs auswarf, wirft heute Storage Devices und anderen Kram, dem ich nicht traue.
Falls jemand probieren möchte:
$HWa = Get-PnpDevice -PresentOnly | Select-Object InstanceId
–> Adapter ziehen bzw. stecken
$HWb = Get-PnpDevice -PresentOnly | Select-Object InstanceId
Compare-Object -ReferenceObject $HWa -DifferenceObject $HWb -PassThru
Auf die Idee das Internet zu befragen hätte ich auch eher kommen können, das sind wohl weitere bekannte IDs des Unifying Adpaters:
https://www.the-sz.com/products/usbid/index.php?v=&p=&n=Unifying%20Receiver
Das ganze ist aber kein Software oder Treiber Problem. Selbst wenn man nix von Logitech an Software oder Treibern verwendet besteht die Lücke, weil sie in der Firmware des Unify Empfängers und im Übertragungsprotokoll besteht. Also trotzdem das Update mit den verlinkten Programmen machen, dauert keine 10 Sekunden. Schwerer wiegt (im geschäftlichen Bereich), dass Logitech nicht alle Lücken patchen MÖCHTE, weil sonst die Kompatibilität verloren ginge. Hier sollte Logitech schleunigst einen neuen Empfänger entwickeln und notfalls einen harten Bruch mit bisherigen Gerätegenerationen vornehmen.
Es verwundert mich nicht. Ich stimme auch @Picard87 zu, dass es ein Problem mit Unify ist.
Ohne Strippe rumzulaufen und so leicht wie eine Daunenfeder durch den Alltag zu schweben, birgt eben Risiken. Egal ob Funkmäuse oder deren Tastaturen, „Alexa“, W-Lan, Blauzahn-Technik oder sonstiges strippenlose Gerät.
Ich weiß auch nicht warum jetzt andere aufgeregt sind. Es gibt eine sog. DSGVO der EU. Was macht das aus? Antwort: NICHTS. Gut, nach den neuen Artikel soll British Airways mächtig viel Geld abdrücken. Warum geht man nicht auf die Regierungen eines Landes zu, so Deutschland, die massiv fazebuk und anderes prolongieren und der öffentliche Rundfunk massiv das Spionagegerät „Alexa“ promotet.
Die DSGVO wird generell nicht eingehalten und vor allem nicht von der EU. Ich werde immer sauerer.