Bild: Logitech / Montage: c't

In etlichen Tastaturen, Mäusen und Wireless Presentern von Logitech klaffen Sicherheitslücken. Ein Angreifer kann über Funk Tasteneingaben abhören und sogar den Rechner infizieren. c't erklärt, welche Produkte betroffen sind und was Sie jetzt tun sollten.

This article is also available in English

Viele kabellose Eingabegeräte von Logitech sind über Funk angreifbar und können ein Sicherheitsrisiko darstellen. Zu dieser Einschätzung kommt der Security-Experte Marcus Mengs, mit dem c't seit geraumer Zeit in Kontakt steht. Mengs hat die Funkverbindungen etlicher Logitech-Geräte untersucht und ist dabei auf zahlreiche Schwachstellen gestoßen. Betroffen sind sowohl Tastaturen, Mäuse als auch Wireless Presenter.

Durch die Sicherheitslücken kann der Angreifer Tastatureingaben belauschen und so eingetippte Mails, Passwörter & Co. aufzeichnen. Der Angreifer kann aber auch selbst aktiv werden und eigene Tastenbefehle an den Rechner seines Opfers schicken. Und das ist nicht weniger gefährlich, denn auf diese Weise lässt sich der Rechner leicht mit Schadcode infizieren.

Mengs demonstriert anschaulich, wie er ein System mit einer Backdoor (Remote Shell) infiziert, durch die er es über Funk kontrollieren kann. Besonders pikant ist die Tatsache, dass Mengs den Logitech-Funk nicht nur zur Infektion des Systems nutzt, sondern auch, um anschießend mit der Backdoor zu kommunizieren. Ein Angreifer kann so auch auf Rechner zugreifen, die nicht mit einem Netzwerk verbunden sind.

Bei Problemen mit der Wiedergabe des Videos aktivieren Sie bitte JavaScript

Angriff über Logitech-Funk – Der Security-Experte Marcus Mengs infiziert ein System mit einer Backdoor durch einen verwundbaren Logitech-Funkempfänger. – Quelle: Marcus Mengs (@mame82)

c't hat die umfangreichen Fundberichte des Security-Experten ausgewertet und ist die einzelnen Anfälligkeiten anschließend mit Art O'Gnimh, dem globalen Leiter von Logitechs Maus- und Keyboard-Sparte, in einer rasch einberufenen Videokonferenz durchgegangen. Das Unternehmen bestätigte die Berichte von Marcus Mengs und war bemüht, die Situation zu klären.

Diese Produkte sind betroffen

Der Logitech-Unifying-Receiver erkennt man am orangefarbenen Logo mit Stern. (Bild: c't)

Verwundbar sind alle Logitech-Geräte, die mit der Unifying-Funktechnik arbeiten. Logitech liefert die betroffenen Unifying-USB-Empfänger seit 2009 bis heute mit kabellosen Tastaturen und Mäusen aus. Unifying kommt sowohl bei preiswerten Einsteigerprodukten als auch bei aktuellen Spitzenmodellen zum Einsatz. Man erkennt die betroffenen USB-Receiver an einem kleinen orangefarbenen Logo mit einem Stern.

Zudem sind die Gaming-Produkte der Lightspeed-Serie angreifbar und auch die Wireless Presenter R500 und Spotlight sind anfällig, da sie eine verwandte Funktechnik nutzen. Die Presenter R400, R700 und R800 sind nicht von den in diesem Artikel beschriebenen Schwachstellen betroffen, jedoch von einer anderen Lücke, über die wir bereits separat berichtet haben.

Bild 1 von 7 Logitech-Produkte mit Unifying-Technik (7 Bilder) Logitech K400 Plus Die Wohnzimmer-Tastatur Logitech K400 Plus wird mit einem Unifying-Receiver geliefert.

(Bild: Logitech)

Einige der von Mengs gemeldeten Sicherheitsprobleme wird Logitech beheben, andere hingegen nicht, da ansonsten die Kompatibiltiät zwischen den Unifying-Produkten nicht mehr aufrecht erhalten werden kann. Logitechs Unifying-Funkstandard sieht vor, dass man bis zu sechs kompatible Eingabegeräte mit nur einem Empfänger betreiben kann – sowohl zehn Jahre alte Geräte als auch moderne Produkte der aktuellen Generation.

Kompatibilität vor Sicherheit

Zu den Sicherheitsücken, die der Hersteller nicht schließen wird, zählen zwei, die Mengs neu entdeckt hat. Durch die Lücke mit der Kennnummer CVE-2019-13053 kann ein Angreifer beliebige Tastatureingaben in den verschlüsselten Funkverkehr der Unifying-Tastaturen einschleusen, ohne den eingesetzten Krypto-Schlüssel zu kennen. Dazu muss der Angreifer lediglich kurzzeitig Zugriff auf die Tastatur haben, um einige Tasten zu drücken. Der Angreifer schneidet währenddessen den Funkverkehr mit und hat wenige Sekunden später alle nötigen Informationen zusammen, um die verschlüsselte Funkverbindung attackieren zu können. Den eigentlichen Angriff kann er anschließend aus der Distanz durchführen.

Bei Problemen mit der Wiedergabe des Videos aktivieren Sie bitte JavaScript

Mengs belauscht die Tasteneingaben einer verwundbaren Logitech-Tastatur, nachdem er den Pairing-Vorgang mitgeschnitten hat. – Quelle: Marcus Mengs (@mame82)

Auch die Sicherheitslücke CVE-2019-13052 wird nicht geschlossen. Der Angreifer kann die verschlüsselte Kommunikation der Eingabegeräte entschlüsseln, wenn er den Pairing-Prozess mitgeschnitten hat. Logitech rät, die Kopplung zwischen Empfänger und Eingabegerät nur durchzuführen, "wenn sichergestellt ist, dass keine verdächtigen Aktivitäten innerhalb eines Radius von 10 Metern auftreten. " In der Praxis ist dies allerdings schwierig, denn die zum Angriff nötige Hardware passt in jede Manteltasche und fällt nicht auf. Es genügt ein kompakter Raspberry Pi, der an einen USB-Funkstick und eine kleine Powerbank angeschlossen ist.

Zwei Lücken werden geschlossen

Zwei andere von Mengs Funden will Logitech im August ausbessern. Durch die Lücke CVE-2019-13055 kann ein Angreifer den zur Verschlüsselung der Funkstrecke genutzten Krypto-Key aus dem Unifying-Receiver auslesen. Dazu benötigt der Angreifer nur wenige Sekunden Zugriff auf den USB-Receiver. Anschließend kann er zu jedem späteren Zeitpunkt aus der Distanz die Tasteneingaben belauschen und sogar eigene Tastenbefehle an den Receiver schicken. Ähnlich gelagert ist die Lücke CVE-2019-13054: Sie betrifft die Wireless Presenter R500 und Spotlight, die eine Unifying-ähnliche Funktechnik einsetzen. Auch hier kann der Angreifer den Krypto-Key aus dem USB-Receiver auslesen, um im Nachgang die Funkverbindung zu attackieren.

Fatal ist, dass es Mengs auch noch gelang, den Eingabefilter der Presenter zu überlisten. Dieser soll eigentliche die Eingabe von Buchstaben verhindern, da diese für den Betrieb der Powerpoint-Fernbedienungen ohnehin nicht gebraucht werden. Mengs umgeht den Filter und kann so auch komplexere Befehle auf dem angegriffenen Rechner ausführen, etwa um eine persistente Backdoor zu installieren. Ein beim Angreifer willkommenes Hilfsmittel ist die Powershell von Windows: Hier kann er seinen Schadcode einfach eintippen und ausführen. Ein Download aus dem Internet, der Virenwächter & Co. auf den Plan rufen könnte, ist nicht nötig.

Und dann befinden sich unter den von Marcus Mengs verifizierten Anfälligkeiten auch noch zwei, die bereits seit drei Jahren bekannt sind. Auch durch CVE-2016-10761 kann ein Angreifer eigene Tasteneingaben in die verschlüsselte Kommunikation einschleusen, durch eine weitere kann sich der Angreifer mit einem Unifying-Receiver koppeln, ohne dass sich der Receiver im Pairing-Modus befindet. Logitech hat diese beiden Lücken im Jahr 2016 durch Firmware-Updates behoben. Mengs berichtete c't allerdings, dass auf dem Receiver einer Unifying-Tastatur, die er kürzlich neu angeschafft hat, noch eine verwundbare Firmware installiert war.

Alles Roger in Kambodscha? Mitnichten, die auf dem Unifying-Empfänger installierte Firmware ist steinalt. (Bild: c't)

Die Installation des Firmware-Updates ist keineswegs trivial: c't versuchte am Freitagnachmittag, den USB-Receiver einer 2014 gekauften Unifying-Tastatur auf den aktuellen Stand zu bringen. Im Support-Bereich der Logitech-Seite wurden uns 18 Versionen der SetPoint-Konfigurationssoftware und darunter schließlich die Unifying-Software angeboten, die für die Firmware-Aktualisierung zuständig ist. Beide Tools versicherten uns, dass alles auf dem aktuellen Stand ist. Eine Rückfrage bei Marcus Mengs ergab allerdings, dass auf unserem Unifying-Receiver die älteste aller möglichen Firmware-Versionen installiert war, die für alle Angriffe anfällig ist. Die Update-Funktion der Unifying-Software ist offensichtlich defekt.

Über Google stießen wir schließlich auf ein Firmware-Update-Tool namens SecureDFU, das den Angaben auf der Logitech-Website zufolge für ein anderes Produkt gedacht ist. Erst damit gelang es uns, eine Firmware-Version einzuspielen, die zumindest für die seit 2016 bekannten Angriffe nicht mehr anfällig ist. Auf der Support-Seite fanden wir bei unserem Update-Versuch weder einen Hinweis auf die bereits bekannten Sicherheitslücken und das Firmware-Update, noch einen Link zu dem funktionsfähigen Update-Tool. Unsere Update-Erfahrung legt die Vermutung nahe, dass die Firmware noch keine allzu große Verbreitung gefunden hat.

Wir haben Logitech auch darauf angesprochen, dass die Kunden auf Logitech.com unzureichend über die seit Jahren bekannten Sicherheitslücken und die wichtigen Firmware-Updates aufgeklärt werden. Daraufhin versprach uns das Unternehmen, dass es seine Kunden mit Erscheinen dieses Artikels "auf zwei Kundensupportseiten über die Risiken und die empfohlenen Vorgehensweisen in Bezug auf die Presenter und Produkte, die die Unifying-Funktechnologien verwenden, aufklären [wird]."

Schutzmaßnahmen

Mit dem Tool SecureDFU bringt man die Firmware der Unifying-Empfänger auf den aktuellen Stand. (Bild: c't)

Will man sich vor den oben beschrieben Funkangriffen schützen, dann ist guter Rat teuer. Zunächst sollte man sicherstellen, dass auf dem USB-Empfänger die aktuelle Firmware installiert ist, damit zumindest die seit 2016 bekannten Sicherheitslöcher gestopft sind. Das klappt zwar nicht mit der Unifying-Software, dafür aber mit dem Logitech Firmware Update Tool SecureDFU. Die derzeit aktuellen Firmware-Versionen lauten:

012.008.00030

012.009.00030

024.006.00030

024.007.00030



Die aktive Firmware-Version kann man mit der Unifying-Software überprüfen. Sobald das für August angekündigte Firmware-Update bereitsteht, muss man mit SecureDFU erneut eine Aktualisierung des USB-Receivers durchführen. Wir werden darüber berichten, sobald Logitech das Update anbietet.

Sie können die nötigen Tools hier herunterladen:

Aber auch nach den Updates bleiben die Unifying-Receiver nach derzeitigem Stand verwundbar. Logitech rät dringend, "einen Computer (mit einem USB-Empfänger) immer dort aufzubewahren, wo Fremde nicht physisch darauf zugreifen oder ihn manipulieren können. Darüber hinaus sollten Nutzer die gängigen Sicherheitsmaßnahmen ergreifen, um fremden Nutzern den Zugriff zu erschweren." Streng genommen müsste man dann auch die Tastaturen wegschließen, da ein Angreifer wie oben beschrieben den Krypto-Schlüssel aus dem Funkverkehr extrahieren kann, indem er ein paar Tasten drückt. Dazu muss der USB-Receiver lediglich auf Empfang sein. Darüber hinaus erklärt Logitech, wie schon erwähnt, dass man das Pairing nur durchführen darf, "wenn sichergestellt ist, dass keine verdächtigen Aktivitäten innerhalb eines Radius von 10 Metern auftreten."

Schwer zu sichern

Die nötigen Schutzmaßnahmen erschweren insbesondere den Einsatz im beruflichen Umfeld, da oft nicht garantiert werden kann, dass keine unbefugten Personen auf den USB-Receiver, der meist hinten im Rechner steckt, zugreifen können. Ein Angreifer benötigt nur einen unbeobachteten Moment und wenige Sekunden Zugriff auf den Receiver, um die Funkverbindung dauerhaft aus der Distanz attackieren zu können. Wer auf Nummer sicher gehen will, sollte den Unifying-Receiver beim Verlassen des Rechners daher besser abziehen und mitnehmen. Grundsätzlich sollte man sich die Frage stellen, ob es überhaupt eine Funktastatur oder -maus sein muss. Denn am sichersten ist immer noch eine Kabelverbindung.