• IT-Karriere:
  • Services:

Logitacker: Kabellose Logitech-Tastaturen leicht zu hacken

Mit der Firmware Logitacker und einem USB-Funk-Stick für rund 10 Euro lassen sich kabellose Mäuse und Tastaturen von Logitech leicht hacken. Angreifer können mit der Software Schadcode per Funk eintippen lassen. Logitech wird nur ein Teil der Sicherheitslücken schließen.

Artikel veröffentlicht am ,
Wer da wohl alles mittippt?
Wer da wohl alles mittippt? (Bild: Logitech)

Marcus Mengs, der Entdecker der Sicherheitslücken in kabellosen Tastaturen und Mäusen von Logitech, legt nach: Auf Github hat er eine Firmware veröffentlicht, mit der sich die Sicherheitslücken in Logitechs Unifying-Funktechnik automatisiert ausnutzen lassen. Die Logitacker genannte Firmware kann einfach auf einen der unterstützten USB-Funk-Sticks geflasht werden, anschließend kann per Funk nach kabellosen Geräten von Logitech gesucht und diese aus der Ferne angegriffen werden. Darüber lassen sich beispielsweise Tastaturbefehle einschleusen und so Schadcode auf einem Rechner eintippen.

Stellenmarkt
  1. Quentic GmbH, Berlin
  2. Bechtle Onsite Services GmbH, Baunatal

Logitech wird nach und nach einen Teil der Lücken schließen, zwei sollen allerdings aus Kompatibilitätsgründen nicht geschlossen werden. Zudem müssen die Nutzer die Firmwareupdates auch einspielen. Logitacker wird wohl nicht so schnell obsolet. Zuerst hatte das Onlinemagazin Heise berichtet.

Teuer ist ein entsprechender Angriff nicht: Das besonders reichweitenstarke April USB Dongle 52840 gibt es schon für rund 10 Euro. Damit dieser Eingaben an Logitechs Unifying-Empfänger senden kann, muss zuerst die Verschlüsselung umgangen werden. Hierzu muss ein Angreifer die Funksignale beim Pairing zwischen kabellosem Gerät und Unifying-Empfänger abfangen - auch dies unterstützt Logitacker. Diesen Pairing-Prozess kann der Angreifer allerdings auch selbst auslösen. Alternativ lässt sich der Schlüssel einfach aus dem Unifying-Empfänger auslesen. Bei beiden muss ein Angreifer einmalig nah an die eingesetzten Geräte kommen. Die eigentlichen Attacken lassen sich dann aus größerer Entfernung durchführen. In einem Versuch schaffte Mengs 20 Meter, mit einer größeren Antenne dürfte jedoch eine noch größere Reichweite möglich sein.

Nicht alle Sicherheitslücken werden geschlossen

Neben Unifying lässt sich auch die Funktechnik Lightspeed angreifen. Sie kommt vor allem bei Gaming-Geräten aus dem Hause Logitech zum Einsatz und ermöglicht einen schnelleren Datendurchsatz. Dieser kann entsprechend auch von Angreifern ausgenutzt werden. Mengs konnte mit Lightspeed bis zu 1.000 Zeichen pro Sekunde an einen entfernten Rechner übertragen.

Nutzer, die Geräte mit Logitechs Funktechnologie Unifying oder Lightspeed einsetzen, sollten unbedingt die aktuelle Firmware aufspielen. Diese schließt zwar mehrere Sicherheitslücken, weitere möchte Logitech jedoch erst in einem Firmwareupdate im August beheben. Doch auch mit diesem Sicherheitsupdate wird es weiterhin möglich sein, den Schlüssel beim Pairing der Geräte auszulesen - diese möchte Logitech aus Kompatibilitätsgründen zu alter Hardware nicht schließen. Besitzer entsprechender Geräte sollten sich also überlegen, ob sie ihre Tastatur oder Maus nicht besser austauschen. Allerdings haben auch Funktastaturen anderer Hersteller Sicherheitsprobleme. Kabelgebundene Geräte sind deutlich sicherer.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. 555,55€ (zzgl. Versandkosten)
  2. (u. a. Asus Rog Strix X570-F + Ryzen 7 3700X für 555,00€, Asus Tuf B450-Plus + Ryzen 7 2700 für...
  3. (reduzierte Überstände, Restposten & Co.)

ashahaghdsa 05. Sep 2019

Folgendes Szenario um ein Pairing auszulösen habe ich noch nirgendwo gelesen (weil es...

mat178 26. Jul 2019

"Diesen Pairing-Prozess kann der Angreifer allerdings auch selbst auslösen." Man kann...

matok 26. Jul 2019

Was macht man unter Linux oder kann Logitech das nicht?


Folgen Sie uns
       


Microsoft Surface Pro X - Hands on

Schon beim ersten Ausprobieren wird klar: Das Surface Pro X ist ein sehr gutes Beispiel für ARM-Geräte mit Windows 10. Viele Funktionen wirken durchdacht - die Preisvorstellung gehört nicht dazu.

Microsoft Surface Pro X - Hands on Video aufrufen
Social Engineering: Die Mitarbeiter sind unsere Verteidigung
Social Engineering
"Die Mitarbeiter sind unsere Verteidigung"

Prävention reicht nicht gegen Social Engineering und die derzeitigen Trainings sind nutzlos, sagt der Sophos-Sicherheitsexperte Chester Wisniewski. Seine Lösung: Mitarbeiter je nach Bedrohungslevel schulen - und so schneller sein als die Kriminellen.
Ein Interview von Moritz Tremmel

  1. Social Engineering Mit künstlicher Intelligenz 220.000 Euro erbeutet
  2. Social Engineering Die unterschätzte Gefahr

Kognitive Produktionssteuerung: Auf der Suche nach dem Universalroboter
Kognitive Produktionssteuerung
Auf der Suche nach dem Universalroboter

Roboter erledigen am Band jetzt schon viele Arbeiten. Allerdings müssen sie oft noch von Menschen kontrolliert und ihre Fehler ausgebessert werden. Wissenschaftler arbeiten daran, dass das in Zukunft nicht mehr so ist. Ziel ist ein selbstständig lernender Roboter für die Automobilindustrie.
Ein Bericht von Friedrich List

  1. Ocean Discovery X Prize Autonome Fraunhofer-Roboter erforschen die Tiefsee

Mi Note 10 im Hands on: Fünf Kameras, die sich lohnen
Mi Note 10 im Hands on
Fünf Kameras, die sich lohnen

Mit dem Mi Note 10 versucht Xiaomi, der Variabilität von Huaweis Vierfachkameras noch eins draufzusetzen - mit Erfolg: Die Fünffachkamera bietet in fast jeder Situation ein passendes Objektiv, auch die Bildqualität kann sich sehen lassen. Der Preis dafür ist ein recht hohes Gewicht.
Ein Hands on von Tobias Költzsch

  1. Xiaomi Neues Redmi Note 8T mit Vierfachkamera kostet 200 Euro
  2. Mi Note 10 Xiaomis neues Smartphone mit 108 Megapixeln kostet 550 Euro
  3. Mi Watch Xiaomi bringt Smartwatch mit Apfelgeschmack

    •  /