Νωρίτερα αυτή την εβδομάδα, ο ερευνητής ασφάλειας Marcus Mengs αποκάλυψε ότι τα ασύρματα Unifying dongles της Logitech είναι πραγματικά ευάλωτα σε μια ποικιλία από προσφάτως ανακαλυπτόμενα hack. Τα “περιφερειακά” του Logitech έρχονται προ-εγκατεστημένα και θα πρέπει να είναι πολύ τυχερός ο hacker για να ξέρει πότε ακριβώς κάποιος έχασε το dongle (ή το ποντίκι) και πρόκειται να εγκαταστήσει ένα νέο.
Παρατηρήσαμε κάτι άλλο στην έκθεση του Meng – ένας ισχυρισμός ότι η Logitech εξακολουθεί να πουλά dongles USB ευάλωτα στο αρχικό MouseJack hacking.
Ο ερευνητής Marc Newlin, επιβεβαίωσε την έκθεση, δηλώνοντας ότι πρόσφατα αγόρασε ένα ποντίκι Logitech M510 που ακόμα έφερε ένα ευάλωτο dongle.
Έτσι, σε μια επικοινωνία με την Logitech, ένας εκπρόσωπος ομολόγησε ότι αυτά τα unpatched dongles μπορεί να εξακολουθούν να κυκλοφορούν στην αγορά. Στην πραγματικότητα, η Logitech φαίνεται να μην έκανε ποτέ update στα προϊόντα μετά το hacking του 2016:
Η Logitech αξιολόγησε τον κίνδυνο για τις επιχειρήσεις και τους καταναλωτές και δεν ξεκίνησε την ανάκληση προϊόντων ή εξαρτημάτων που βρίσκονται ήδη στην αγορά και την αλυσίδα εφοδιασμού. Κάναμε την ενημέρωση firmware διαθέσιμη σε όλους τους πελάτες και πραγματοποιήσαμε αλλαγές στα προϊόντα που θα παραχθούν αργότερα.
Η Logitech έκανε “phase the fix in” για τα προσφάτως κατασκευασμένα προϊόντα, αλλά ένας εκπρόσωπος είπε ότι δεν μπορούν ακόμα να επιβεβαιώσουν πότε έγιναν οι εργοστασιακές αλλαγές.
Σύμφωνα με τον Newlin, το MouseJack επηρέασε τις συσκευές της Dell, της HP, της Lenovo και της Microsoft, και ίσως και άλλων που χρησιμοποίησαν τα ίδια Nordic και Texas Instruments chip και firmware για τους ασύρματους δέκτες τους. Η Logitech όμως σάς επιτρέπει να ενημερώσετε το firmware στα Unifying dongles.
Αλλά αυτός θα μπορούσε να είναι και ο λόγος για τον οποίο τα dongles της Logitech θα μπορούσαν να είναι ένας φθηνός και εύκολος τρόπος για να ξεκινήσει μια επίθεση.
Όλα αυτά για να καταλήξουμε ότι αν έχετε ασύρματο ποντίκι Logitech, keyboard ή presentation clicker, θα πρέπει πιθανώς να το διορθώσετε τώρα – και ίσως και πάλι τον Αύγουστο, όταν η Logitech θα δρομολογήσει μερικές επιπλέον λύσεις. Οι παλιές σελίδες υποστήριξης της Logitech για το MouseJack έχουν εξαφανιστεί.
Η σύσταση της Logitech αναφέρει: “Είναι πάντα η βέλτιστη πρακτική, συνιστούμε στους χρήστες να ενημερώσουν τους ασύρματους δέκτες Unifying USB στο πιο πρόσφατο firmware μας”.
