Sicherheitslücken in Logitech-Produkten Darum sollten Sie Ihre Funk-Gadgets nicht aus den Augen lassen

Kabellose Mäuse und Tastaturen ersparen Kabelsalat. Sie können aber auch ein Sicherheitsrisiko darstellen, zeigen Recherchen zu Logitech-Gadgets. Sogar seit Jahren bekannte Schwachstellen sind noch ein Problem.

Die Funktastatur K400 Plus ist eines der betroffenen Geräte
Logitech

Die Funktastatur K400 Plus ist eines der betroffenen Geräte

Von


Nach der Arbeit am PC sollte man lieber den USB-Funkempfänger abziehen und mitnehmen: Dazu rät die "c't" Menschen, die mit sensiblen Daten und kabellosen Logitech-Gadgets wie der Funktastatur K400 Plus arbeiten. Das Tech-Magazin berichtet über mehrere besorgniserregende Schwachstellen, die der Sicherheitsexperte Marcus Mengs rund um die weitverbreiteten Produkte des Schweizer Herstellers ausgemacht hat.

"In etlichen Tastaturen, Mäusen und Wireless-Presentern von Logitech klaffen Sicherheitslücken", warnt "c't" am Montag in einem längeren Artikel. Betroffen sind dem Magazin zufolge diverse Logitech-Produkttypen, von der kabellosen Tastatur K400 Plus über die Solartastatur K750 bis zum Tastatur-Maus-Set MK540 Advanced. Insgesamt, so schätzt "c't", geht es um Millionen verkaufte Geräte.

Was die betroffenen Geräte verbindet, ist die Unifying-Funktechnik, die Logitech seit vielen Jahren einsetzt. Als Nutzer kabelloser Geräte mit dieser Technik steckt man einen sogenannten Unifying-Empfänger in den USB-Port seines Computers. Dieser kleine Empfänger, der laut Logitech-Werbung "permanent eingesteckt" bleiben kann, empfängt dann zum Beispiel die Eingaben einzelner oder mehrerer Funkmäuse oder Funktastaturen. Zu erkennen sind Logitechs Unifying-Empfänger an einem orangefarbenen Logo mit einem schwarzen Stern darauf.

So sieht der USB-Empfänger von Logitech aus
Logitech

So sieht der USB-Empfänger von Logitech aus

Ein paar Sekunden können ausreichen

"c't" und der Sicherheitsexperte Mengs warnen nun vor mehreren Angriffsszenarien rund um die Unifying-Technik: So lässt sich über eine der entdeckten Attacken der Krypto-Schlüssel zum Absichern des Funkverkehrs aus dem USB-Empfänger auslesen. Das macht fortan ein Mitlesen der Tastatureingaben möglich - und sogar das Senden eigener Tastenbefehle. Der Angreifer brauche lediglich ein paar Sekunden lang Zugriff auf den USB-Empfänger, heißt es.

Logitech betont in einer aktuellen Stellungnahme zu den Angriffen, dass das Ausnutzen der von Mengs entdeckten Schwachstellen räumliche Nähe zum Gerät erfordere, teils auch physischen Zugriff darauf. Zugleich kündigt das Unternehmen an, zumindest die eben skizzierte Krypto-Schlüssel-Lücke durch ein Firmware-Update zu schließen, das Nutzer voraussichtlich ab August einspielen können. Sobald das Update verfügbar ist, soll auf der Seite mit der Logitech-Stellungnahme darauf aufmerksam gemacht werden.

Ansonsten rät Logitech Nutzern seiner Geräte unter anderem, "Computer (mit einem USB-Empfänger)" so aufzubewahren, dass Fremde nicht physisch auf ihn zugreifen oder ihn manipulieren können. In einem älteren, ab Montagmittag nicht mehr verfügbaren Statement eines Admins des Logitech-Community-Forums war außerdem betont worden, dass der Bluetooth-Modus der Geräte nicht von den Problemen betroffen sei. Interessant war dieser Hinweis zum Beispiel für Besitzer der Profi-Maus MX Master 2S, bei der sich Bluetooth als Alternative zum Unifying-Funkverkehr nutzen lässt.

Zwei der von Marcus Mengs aufgezeigten Lücken werden laut Logitech nicht gestopft: Dafür wären Änderungen an der Hardware nötig, hatte es im ursprünglichen Statement geheißen, zudem würde eine Anpassung die Kompatibilität der Geräte untereinander beeinflussen. Fürs Koppeln neuer Geräte oder fürs erneute Koppeln bisheriger Geräte mit dem USB-Empfänger ("Pairen") empfiehlt Logitech, darauf zu achten, dass "keine verdächtigen Aktivitäten" in zehn Metern Umkreis auftreten.

Ein altes Problem bleibt akut

Neben einer Anfälligkeit rund um diesen Pairing-Prozess wird eine Lücke offen bleiben, die es Angreifern ermöglicht, beliebige Tastatureingaben in den Funkverkehr einzuschleusen, ohne den Krypto-Schlüssel zu kennen. Der Angreifer müsse zuvor lediglich kurzzeitig Zugriff auf die Tastatur haben, um einige Tasten zu drücken, während er den Funkverkehr mitschneidet, erklärt die "c't".

Eindringlich gewarnt wird im Text des Magazins auch noch vor zwei älteren Unifying-Schwachstellen, die seit drei Jahren als bekannt gelten und gegen die sich Logitech-Geräte durch das Einspielen eines bereits erschienenen Firmware-Updates schützen lassen. Praktisch dürfte die Angriffsgefahr für viele Kunden aber weiter akut sein, legen die Recherchen der "c't" nahe, da das korrekte Updaten der Firmware selbst den Technikexperten Probleme bereitete.

Als Benutzer eines betroffenen Logitech-Produkts - selbst wenn es erst 2016 oder später neu gekauft wurde - sollte man daher prüfen, ob man selbst einen Funk-Empfänger mit aktueller Firmware nutzt. Falls nicht, sollte man zeitnah ein Update einspielen, am besten schon vor der angekündigten August-Aktualisierung. Wie das Installieren der Updates funktioniert und wie die aktuellen Versionsnummern lauten, steht am Ende des "c't"-Artikels.

Die "c't" kommt letztlich zu der Empfehlung, Logitechs USB-Funkempfänger lieber nicht im Rechner steckenzulassen, wenn man sich von diesem entfernt - insbesondere dann nicht, wenn man mit personenbezogenen oder gar geheimen Daten hantiert. "Grundsätzlich sollte man sich die Frage stellen, ob es überhaupt eine Funktastatur oder -maus sein muss", heißt es außerdem im Artikel. Am sichersten sei immer noch eine Kabelverbindung.



insgesamt 7 Beiträge
Alle Kommentare öffnen
Seite 1
Onkel Drops 08.07.2019
1. oh gut das dies keine Zocker trifft...
die bevorzugen kabelgebundene Geräte die per ps2 Stecker ( nicht USB ) verbunden sind. solche universal Geräte ( Empfang ) sind da ein klassisches Einfalltor( einfach zu nutzen ,aber auch einfach zu hacken )dort hat logitech etwas gepennt... ein wake up via funktaste/Maus soll man eh vermeiden . USB Hub mit eigenem Netzteil an einer master/slave Steckdosenleiste erspart das reinraus stecken, weil der USB hub erst Strom hat wenn man den PC einschaltet (der bis dahin stromlos ist, im PC steckend kann je nach Netzteil/Platine der USB Port selbst im runtergefahrenen Zustand Strom haben). von daher sollte man dann die entsprechenden Modelle dann abziehen, bis bis logitech nach liefert. safety first...
tafka_neowave 08.07.2019
2. "die Frage stellen"
Zitat: "[... ] die Frage stellen, ob es überhaupt eine Funktastatur oder -maus sein muss"[...]" Gute Frage, meine Antwort: Jein. Mittlerweile bin ich wieder zur kabelgebundenen Tastatur zurück gekehrt, das es mir dann schlussendlich doch auf den Keks ging, alternativ zur kabellosen immer eine eben mit Kabel in Griffweite haben zu müssen, um ans BIOS zu kommen. Bei den Mäusen siehts anders aus - da nerven mich Kabel. Abgesehen davon... in den habe in den letzten über 20 Jahren nahezu auschliesslich den TOP-Level-Logitech-Kram gekauft. Bis auf vor einem Jahr - da fand ich nur Allerweltstastaturen bei Logitech, bis auf die eine, die aber ~ EUR 200 kosten sollte und bei entsprechenden Tests nur mäßig abschnitt! Jede Ära geht mal zu Ende... PS: Spiele keine Spiele mit Millisekundenrelevanz.
invictus_nl 08.07.2019
3.
Zitat von Onkel Dropsdie bevorzugen kabelgebundene Geräte die per ps2 Stecker ( nicht USB ) verbunden sind. solche universal Geräte ( Empfang ) sind da ein klassisches Einfalltor( einfach zu nutzen ,aber auch einfach zu hacken )dort hat logitech etwas gepennt... ein wake up via funktaste/Maus soll man eh vermeiden . USB Hub mit eigenem Netzteil an einer master/slave Steckdosenleiste erspart das reinraus stecken, weil der USB hub erst Strom hat wenn man den PC einschaltet (der bis dahin stromlos ist, im PC steckend kann je nach Netzteil/Platine der USB Port selbst im runtergefahrenen Zustand Strom haben). von daher sollte man dann die entsprechenden Modelle dann abziehen, bis bis logitech nach liefert. safety first...
Ich bin ganz klar kein Profi-Zocker, aber dass PS/2 immer noch USB vorgezogen wird ist mir neu. Ich kenne die Diskussion von damals (15 Jahre her oder so, MX510 und so), aber meine aktuelle G502 Hero kann mit USB 1000 Hz polling rate, was soweit mir bekannt PS/2 nie konnte. Von den 16.000 dpi und >40G des Hero Sensors mal ganz zu schweigen. Aber Kabel lag mir in der Tat schon immer deutlich mehr. Hab mich dennoch mit diversen kabellosen Mäusen und Tastaturen versucht, war alles nicht langfristig überzeugend. Das einzige was mir kabellos echt besser gefällt ist das Headset, da kann man auch kurz vom PC aufstehen ohne das Headset abnehmen zu müssen. Das habe ich aber nicht von Logitech.
murksdoc 09.07.2019
4. Logi..dre..teck
Wenn man sich früher die an sich hervorragenden Logitec Hardware-Produkte an einen Windows-PC anschloss, egal ob kabelgebunden oder nicht, benutzten die nicht irgendeinen sowieso vorhandenen Standard-Maus- oder Tastaturtreiber oder installierten irgendeinen kleinen und unauffälligen eigenen Hardwaretreiber, sondern man war gezwungen, Programme von der Größe eines NVIDIA-Grafikkartentreibers zu laden, inklusive eigener Accounts und Registrierungen, die vorgeschlagen oder sogar verlangt wurden. Einen passwortgeschützten LogiTec-Account besitzen zu müssen, nur damit soetwas Primitives und Uninteressantes wie eine Computermaus funktioniert, ist ungefähr das letzte, von dem ich als normaler PC-User schon immer geträumt habe. Hatte man das aber aus purer Not mal gemacht, wurde man in der Folge, während man an wissenschaftlichen Texten oder Patentanmeldungen arbeitete, mit Werbe-Pop-Ups und unerwünschten Spiele-Vorschlägen zugemüllt. Was sonst noch da im Hintergrund ablief, das wusste und weiss kein Mensch. LogiTec ist und war für normale Erwachsene, die mit PCs andere Dinge vorhaben, als irgendwelche Kinder-Spiele zu spielen, schon immer ein absolutes No-Go. Was will man bei den anderen abgreifen? Den High-Score von "Battle of the Universe VII"?
Nonvaio01 09.07.2019
5. MS hat es besser gemacht
da sind die drahtlosen Maeuse und Keyboards nicht kompatibel. Die maus von set A kann nicht mit set B gemischt werden, die sind individuel. Logitech kaufe ich schon seit jahren nicht mehr, viel zu teuer und kein mehrwert.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.