Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Logitech komt in augustus met firmware-update voor kwetsbare Unifying Receiver

Logitech komt in augustus met een firmware-update die afrekent met een veiligheidsrisico van de Unifying Receivers van de fabrikant. Een onderzoeker trof in de voorbije weken diverse kwetsbaarheden aan in de usb-dongles, waarmee gebruikers tot zes apparaten kunnen verbinden.

Beveiligingsexpert Marcus Mengs berichtte in de voorbije dagen uitgebreid over de veiligheidsproblemen die er zouden zijn met de Logitech Unifying Receiver. Door verouderde firmware zouden kwaadwillenden met fysieke toegang tot de hardware een keystroke injection-aanval kunnen aanvoeren. Bij zo’n aanval kan de data-invoer van een gebruiker worden opgenomen, maar kan de computer ook worden overgenomen.

De Logitech Unifying Receiver

De minuscule Unifying Receiver wordt meegeleverd bij tal van muizen, toetsenborden en andere accessoires van Logitech, en verbindt de accessoires via een 2,4GHz-radiofrequentie met de computer. Mengs stelde vier verschillende potentiële risico’s vast. Twee ervan, bekend als CVE-2019-13054 en CVE-2019-13055, krijgen in augustus een patch volgens Logitech, dat de twee problemen als één kwetsbaarheid beschouwt. Ze hebben betrekking op muizen en toetsenborden die het draadloze Unifying-protocol gebruiken, de Logitech Spotlight en R500 presentatietools, en op de Lightspeed gamingproducten.

Twee andere kwetsbaarheden, bekend als CVE-2019-13053 en CVE-2019-13052, worden niet gepatcht. Volgens Logitech is het voor een aanvaller bijzonder moeilijk om er misbruik van te maken, zeker als de gebruiker 'zijn privacy beschermt met een paar eenvoudige basispricipes'. Zo adviseert Logitech om computers nooit onbeheerd achter te laten en om nieuwe toestellen uitsluitend te koppelen als er 'geen verdachte activiteit is binnen een straal van tien meter', het typische draadloze bereik van de dongle. Daarnaast raadt de fabrikant de gebruiker aan om steeds de recentste firmware voor de Unifying Receiver te installeren.

Door Michel van der Ven

Nieuwsredacteur

30-07-2019 • 11:17

54 Linkedin Google+

Submitter: JerX

Reacties (54)

Wijzig sortering
Ik vraag mij alleen af hoe die updates verlopen dan? Moet ik het zelf downloaden en installeren? Verloopt dit via windows updates? Want mijn muis update ik nooit. Is puur plug and play. Heb verder ook geen software van Logitech geïnstalleerd voor de muis.
Op moderne Linux versies neemt de standaard fwupd de updates van Logitech randapparatuur firmware voor zijn rekening. Diverse update managers (voor zover ik weer inclusief de Gnome software tool) presenteren dit als een gewone update.
KDE heeft dit ook tegenwoordig in Discover zitten. Je hebt ook die fwupd lib nodig, want volgens mij zijn ze voor beide optioneel. Al zullen ze bij de meeste distros er wel al rekening mee houden. :)
Ik heb beide packages, blijkbaar standaard in Kubuntu 18.10/19.04, maar moest toch echt handmatig updaten.
Heb je het wel aangezet als update bron?
Om eerlijk te zijn vertrouw ik die update managers niet volledig, enkel bij de 'simple' updates. Upgrades doe ik liever via de terminal zodat je kan zien wat er gebeurt, ook bij deze doe ik het via fwupd zelf.
Je weet dat de KDE Discover en het alternatief op GNOME niets anders dan grafische schillen om fwupd zijn? Tenminste, zo lees ik de site die Peetke in 'nieuws: Logitech komt in augustus met firmware-update voor kwetsba... noemt wel.
Dat klopt, maar dan heb je niet de output die je wel hebt via de cli. Maar ik zou verwachten dat de grafische versies wel logging hebben.
Op Kubuntu dan weer niet, gek genoeg. Heb handmatig moeten doen met fwupdmgr via CLI. Terwijl op de site gesproken wordt over KDE Discover die dit zou supporten.
Dat is idd bijzonder soepel, maar weet je of er rekening gehouden wordt met dat het apparaat tijdens de update verwijderd kan worden?
Logitech heeft Unifying software. Met deze software kan je ook je firmware bijwerken welke dan de laatste firmware versie download en installeert. Met deze Unifying software kan je meerdere Unifying devices op 1 dongle koppelen door het apparaat uit en weer aan te zetten.
Ik verwacht via software van Logitech. Windows Update doet biji mijn weten geen firmware updates van Logitech hardware (druf niet te zeggen dat die uberhaupt firmware update buiten spul van Microsoft zelf).

Dus waarschijnlijk Logitech Options. Als je G serie spul hebt moet je ook G-Hub (of LGS) gebruiken.
Voor windows gebruikers (Via Logitech support):
Update the firmware for a Logitech Unifying device
Download and save the firmware update for your device, and then double-click on the file to open it.
Jawel, Windows update kan ook drivers voor hardware e.d. aanbieden.
Drivers is niet het zelfde als firmware. Een driver is wat Windows gebruikt om met het apparaat te kunnen communiceren, de firmware is wat op het apparaat zelf staat en daar de boel aan stuurt.

Een driver gaat dit probleem ook niet oplossen, gezien het een probleem betreft in de communicatie tussen de receiver en de muis en de firmware verantwoordelijk is voor dit deel.
Dat moet je merk software doen. Die moet er voor zorgen dat de gebruiker de juiste firmware heeft en de juiste versie van de software.

Niet hetzelfde nee maar wel essentieel.
Ik neem aan via de Logitech Options app waarmee je je muizen/toetsenborden kunt configureren.
Jouw linkje naar de fix is 3 jaar oud met comments eronder die 1 jaar oud zijn. Hoe kan dit de bevindingen oplossen die de afgelopen paar weken bekend zijn geworden. Ik snap het niet...
Logitech komt in augustus
Titel verklapt het al een beetje.
Scherp, was nog niet helemaal wakker...
Zal ongetwijfeld een update-tooltje worden die zelf opzoek gaat naar receiver en stand alone z'n werk doen.

edit: Ik verwacht dus dat je zelf actief dat bestand zal moeten downloaden.

[Reactie gewijzigd door Mr. Freeze op 30 juli 2019 11:27]

Je beschrijft een van de grootste veiligheidsproblemen die met IoT alleen maar erger wordt. Muizen, keybords, camera's en zelfs routers etcetera. moeten allemaal via specifieke software van de leveranciers geupdated worden. Meeste mensen weten dit niet en als ze het al weten, vinden ze het vaak erg lastig waardoor ze het niet doen. Het zou geweldig zijn als dit automatisch via je OS zou kunnen maar goed, dat opent dan ook andere deuren om massaal apparaten te hacken.
Linux gebruikers kunnen hier gemakkelijk terecht:
https://fwupd.org/
Deze tool update inmiddels gemakkelijk vanalles (bios, SSD, enz.) op servers, laptops en desktops. En is officieel door veel fabrikanten ondersteund (o.a. Dell, Lenovo).
Bedankt voor de tip! Mijn laptop (Lenovo T580) staat nu te updaten!

Wel gek trouwens, standaard is dit meegeleverd in Kubuntu, maar komen de checks niet standaard mee? Heb apart via de cli tool fwupdmgr de updates gevonden en laten installeren.

[Reactie gewijzigd door CH4OS op 30 juli 2019 12:12]

Het is nog een relatief jong project (paar jaar bezig) en er komt in flink tempo ondersteuning vanuit de fabrikanten bij. Denk dat 'automatisch' firmware updaten nu ook wel snel naar de verschillende distro's zal komen nu het goed loopt.

Hier kun je zien of jouw merken er ook aan meedoen:
https://fwupd.org/lvfs/vendorlist
Naast Dell en Lenovo dus ook: HP, Intel, Acer, en natuurlijk Logitech.

Helaas nog 'considering': Samsung, Toshiba. Not (yet) supported: AMD, Asus, Asrock, Apple, Microsoft, Gigabyte, Nvidia, Valve.
Ook bedankt voor de tip, nooit van geweten dat er zo'n pakket bestaat. Nu mijn workstation aan het updaten, dit ga ik ook thuis voor mijn laptops even doen. Wat handig om op een makkelijke manier up to date te blijven met firmware :)
Wel slecht dat Logitech een bepaald lek niet wil fixen, met als reden omdat het eenvoudig te voorkomen is. Is voor mij in elk geval een teken om met een boog rond Logitech apparatuur (of minstens de draadloze apparatuur) heen te lopen. Als je beveiliging niet serieus kan of wil nemen, ben je wat mij betreft geen serieus bedrijf meer, hoe gemakkelijk het ook te voorkomen is.

EDIT:
Ik ben benieuwd of men dit ook zo zou laten wanneer de impact wat rigoreuzer zou kunnen zijn. Ik zie het al voor me. "Ja maar meneer, had u ons advies opgevolgd, dan had de inbreker nooit het raam eigenhandig verder kunnen openen en niet kunnen inbreken...".

Hoewel daar best een kern van waarheid in zit, is dat natuurlijk wel het vooruitschuiven van het probleem / de verantwoordelijkheid. Ik hoop dat dergelijke laksheid betraft kan worden, want dit kan ook niet de bedoeling zijn, lijkt me. De keerzijde is dat een bedrijf ook gewoon een deugdelijk product moet maken.

[Reactie gewijzigd door CH4OS op 31 juli 2019 02:05]

logitech heeft simpelweg een analyse gemaakt waarbij werd gekeken naar hoe waarshijnlijk het is dat iemand van deze bug gebruik maakt. immers vereist het nog steeds speciale hard en software en lokale toegang tot de reciever om iets voor elkaar te krijgen.
Tia, een inbreker heeft ook "speciale tools" om in te breken nodig, dat betekent niet dat het OK is om een slot van een deur open te laten of slecht te beveiligen, dat is wat ik wil aangeven met mijn post.
er is natuurlijk wel een verschil tussen de deur openlaten en duizenden euros aan aparatuur nodig hebben.
Gaat mij dus meer om het principe; het kan voorkomen worden door de deur dicht te doen, dan maakt het niet uit hoeveel apparatuur er nodig is. Dat is immers het mooiste, maar wat Logitech nu dus weigert om te doen.

Overigens zal een inbreker ook wel een afweging maken; gaat hij voor duizenden euro's apparatuur scoren, als de potentiele buit vele meervouden is? Lijkt me wel, weet niet hoe jij daarover denkt? ;)

[Reactie gewijzigd door CH4OS op 30 juli 2019 15:22]

Kan ook een kwestie van afwegingen zijn he. De kans dat het misbruikt wordt is nihil, maar misschien levert een patch een heel scala aan (gebruiks)problemen. Een beetje als 20 sloten op je deur doen terwijl 3 eigenlijk al meer dan zat is. Dan moeten ze een afweging maken tussen de beveiliging en de gebruikservaring. Gezien de kans zo bizar klein is dat dit misbruikt wordt lijken ze te gaan voor dat laatste.

Zeg niet dát dit het geval is, maar het zou me weinig verbazen. :)
Ik loop altijd met een boog om m'n Logitech muis heen.
Wel slecht dat Logitech een bepaald lek niet wil fixen, met als reden omdat het eenvoudig te voorkomen is. Is voor mij in elk geval een teken om met een boog rond Logitech apparatuur (of minstens de draadloze apparatuur) heen te lopen. Als je beveiliging niet serieus kan of wil nemen, ben je wat mij betreft geen serieus bedrijf meer.l, hoe makkelijk het ook te voorkomen is.

Ik hoop dat dergelijke laksheid betraft kan worden.
De keerzijde is dat een bedrijf ook gewoon een deugdelijk product moet maken.
Misschien helpt het als je je eerst inleest vóórdat je begint te speculeren en veroordelen?

Er is alleen een kort window voor een hacker als je een extra apparaat gaat pairen via de software.
Het eerste is al veilig gepaired in de fabriek, wanneer je dan een nieuwe extra paired wordt er een versleutelde sleutel over en weer verstuurd tussen jouw pc en het nieuwe apparaat.
Dit hoeft maar 1x per extra apparaat.
Zodra gepaired is er geen risico meer.

Zolang er binnen 10 meter geen boeven zijn om dit op te kunnen vangen is er geen probleem.
Dus dat moet je niet tijdens de spits op Utrecht Centraal in de hal gaan zitten doen.
Ik begrijp dat jij dat wel vindt moeten kunnen...….anders is alles onveilig volgens jou, zelfs die eerste. ;)
De meeste mensen die een nieuw extra apparaat uitpakken en pairen doen dit echter al in een "veilige" omgeving, thuis, op kantoor, etc.

En je moet geen vreemden op je pc laten of je pc onbeheerd ingelogd laten, maar dan helpt natuurlijk geen enkele beveiliging.

quote Logitech:
First and foremost, follow the common-sense security measures that are found in a typical office or home and don’t ever let strangers physically access or tamper with your computer or input devices.

Secondly, all our Unifying devices are securely paired to a wireless receiver when they are produced and pairing is not required thereafter. However, the ability to pair a second, third or fourth device to a single USB receiver is one of the advantages of our Unifying wireless technology so we enable it through a simple piece of software. If you have to pair a device to a Unifying receiver, this procedure could allow a hacker - with the right equipment and skills, and physically close to your computer - to “sniff” the encryption key. So this brief procedure should only be done when absolutely certain that there is no suspicious activity within 10m/30ft.

Note, if your device stops working, this is never because of a loss of pairing to the USB receiver so re-pairing is not required to troubleshoot.

[Reactie gewijzigd door Teijgetje op 30 juli 2019 23:22]

Nu dit lek bekent is, vind ik het wel zo netjes om er iets mee te doen, ipv te zeggen niets te gaan doen en te zeggen dat een gebruiker maar moet opletten. Een gebruiker moet immers altijd opletten, maar door dit expliciet kenbaar te maken schuift Logitech de verantwoordelijkheid van zich af en dat is wat mij dwars zit. Waarom ik daarvoor eerst de materie zou moeten weten, terwijl het standpunt van Logitech daarin al bepaald is ontgaat mij een beetje.

Het gaat erom dat er nu bekent is dat er een lek is waar niets aan gedaan wordt en de verantwoordelijkheid afgeschoven wordt op de klant, die ook niet om de inbreker gevraagd heeft. Een oplossing voor dit lek zou kunnen zijn om een bevestigingscode op te geven voor de sleutel.

Ik vind het ergens ook best jammer om te zien dat er hier mensen zijn om het voor Logitech op te nemen en mijn mening afdoen alsof ik iets stoms zeg. Ik heb zelf genoeg apparatuur van ze gehad, maar neem het in de toekomst wel met een korrel zout... En moet er echt geen alternatief zijn.

[Reactie gewijzigd door CH4OS op 31 juli 2019 02:11]

Ik denk dat je teveel zwart-wit kijkt.
Alles of niets.
1 bijna niet te gebruiken kwetsbaarheid is volgens jou al reden alles af te keuren, want...…..je krijgt zelf minimale verantwoordelijkheid voor je computergebruik.
Je vergeet ook dat wat nu 100% veilig is, na verloop van tijd gekraakt kan worden. Het zal altijd een afweging blijven of, wat, en hoe je patched, naar rato van misbruikwaarschijnlijkheid.

Voor jouw gemak staat hier de top 50 van gevonden kwetsbaarheden in 2019 (tot nu toe).
Veel wordt uiteindelijk gepatched maar veel ook niet omdat daar de sop de kool niet waard is, te onwaarschijnlijk dat daar gebruik van gemaakt wordt/kan worden.
Als je op Vendor name klikt zie je de geschiedenis, bv voor Apple, Google, Microsoft, etc (hopelijk heb je niets van hen. :) )

Veel plezier bij het ageren op alles bij de desbetreffende fabrikant en je zoektocht naar vervangings-producten die helemaal geen kwetsbaarheden hebben voor jouw huidige apparaten. ;)
Want je hebt natuurlijk gelijk, in een ideale wereld zouden er geen kwetsbaarheden in producten mogen zitten.

[Reactie gewijzigd door Teijgetje op 31 juli 2019 11:11]

ik las dit ruim n wk geleden en heb mijn stuff inmiddels al gepatched, maar wordt hier nu een push update bedoeld ?
Ik lees het dat er ergens in augustus een nieuwe firmware klaarstaat. De versie die jij en iedereen nu draait zitten deze kwetsbaarheden in.
Daarnaast raadt de fabrikant de gebruiker aan om steeds de recentste firmware voor de Unifying Receiver te installeren.
Moet je natuurlijk wel van op de hoogte zijn dat zo'n ding uberhaupt een firmware update zou kunnen hebben. Heb dat ding bv indertijd gewoon netjes geregistreerd bij logitech, maar nooit een mailtje of iets van ze ontvangen over dat er een nieuwe firmware voor zou zijn. En dat ding is plug and play, dus de kans dat de logitech software is geinstalleerd is ook al een stuk kleiner.
En 10 meter? nou, mijn Performance MX muis heeft al problemen als die 2 meter verder ligt.

[Reactie gewijzigd door SuperDre op 30 juli 2019 14:37]

Ze hebben betrekking op de Logitech Spotlight en R500 presentatietools, en op toetsenborden met encryptie.
Dus mijn muizen zijn gewoon veilig en is het niet noodzakelijk om met updates te gaan rommelen? If it ain't broken..
Nee, gewoon updaten als de fix er is, it is broken. ;)
Het heeft betrekking op alle producten die Logitech`s wireless protocol gebruiken én de Spotlight presentation remote én de R500 presenter én Logitech`s Lightspeed Gaming products .

Q: Which Logitech products are concerned by these reports?

A: Mice and keyboards using Logitech’s Unifying wireless protocol. You can identify Unifying products by a small orange logo on the wireless USB receiver, featuring a shape with six points. The Spotlight presentation remote and R500 presenter, are also impacted.

In addition, Logitech’s Lightspeed gaming products are concerned by the encryption key extraction vulnerabilities.
Heel die Unifying ding is simpel gezegd ruk. Het werkt op dezelfde frequentie kanalen als 2,4GHz WiFi. Op mijn werkplek is het dan ook geen wonder waarom het 5GHz netwerk sneller is 7(8)7

Het is zo triest dat het aanbod van Bluetooth muizen en toetsenborden zo karig is geworden. En degenen die er zijn, hebben een obscure indeling en/of zijn enkel gemaakt voor mediaspelers :(

[Reactie gewijzigd door RoestVrijStaal op 30 juli 2019 15:33]

In tegenstelling tot Wi-Fi hoppen de unified receivers snel door frequenties als het kanaal te veel storing geeft en de granulariteit is beter dan bij Wi-Fi waardoor je minder last van interferentie hebt (want meer kanalen om uit te kiezen).

Overigens gebruikt BLE dezelfde 2.4GHz Band waardoor Bluetooth muizen en keyboards ook in hetzelfde spectrum zitten. Een aantal Logitech muizen kunnen daarom ook de unified receiver en BLE gebruiken.
Bleutooth is minder stabiel dan 2.4Ghz.
Die opmerking slaat nergens op: Bluetooth is een _protocol_ welke op de 2.4 GHz radio frequentie band werkt; de Logitech producten gebruiken een propietary protocol wat gebaseerd is op dezelfde radio standaard als de Bluetooth standaard.

Doordat ze een chip gebruiken die beide kan, hebben sommige muizen een optie om zowel over de Unified receiver als over een Bluetooth verbinding te werken. Beide werken in de 2.4GHz band.

Zie ook: https://en.wikipedia.org/wiki/Logitech_Unifying_receiver
Zie ook gebruikers reviews over bleutooth, veel minder stabiel.

Lag/Responsiveness: On boot up, a Bluetooth Mouse will take a few seconds longer to start up compared to an RF mouse. The same happens when coming out of sleep. It’s also a general belief that an RF mouse offers better responsiveness. Users have also commented that once in a while Bluetooth mice disconnect abruptly.

[Reactie gewijzigd door Tourmaline op 31 juli 2019 18:04]

Nooit problemen met Logitech producten. Ik gebruik de mx vertical(ergo muis) en die loopt perfect op de unified receiver.

Per definitie is 5Ghz sneller dan 2.4Ghz. Dus dat dat bij jullie ook sneller is is niet zo verwonderlijk.
Op mijn werkplek is het dan ook geen wonder waarom het 5GHz netwerk sneller is 7(8)7
Sterker nog, overal is 5 GHz 2,08333 X sneller dan 2,4 GHz...……. iets met wiskunde. :+
Alleen 2,4 GHz draagt verder en beter door muren e.d.
En 5GHz is dus sneller en beter voor HD streamen / snel veel data...….maar reikt minder ver en slechter door muren e.d.
De verschillen worden hier voor je uitgelegd.

De receiver communiceert alleen met je apparaat (muis, toetsenbord) niet met je wifinetwerk, dat verstaat hij niet.
Je modem op 2,4 GHz communiceert met je modem in je pc/laptop. Dat is een heel ander protocol.
Je zou geen problemen moeten hebben bij gelijktijdig gebruik van beide protocollen, de één verstaat de ander niet.

[Reactie gewijzigd door Teijgetje op 30 juli 2019 23:55]

Zo adviseert Logitech om computers nooit onbeheerd achter te laten en om nieuwe toestellen uitsluitend te koppelen als er 'geen verdachte activiteit is binnen een straal van tien meter', het typische draadloze bereik van de dongle.
Toetsenbord en muis voortaan koppelen in een weiland of ergens op zee?
Wel een sonar meenemen als je op zee gaat koppelen, stel je voor dat een kwaadwillende in een duikboot zit te wachten op een kans.
Welke sonar is tegenwoordig nog veilig?
Welke sonar is tegenwoordig nog veilig?
Ik gebruik 2.0.0.5322
Geen issues whatsoever
Ik twijfel nog of ik het advies van Logitech hilarisch :D of triest 8)7 vind...

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Elektrische auto

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True