{"id":220270,"date":"2019-07-09T00:20:00","date_gmt":"2019-07-08T22:20:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=220270"},"modified":"2019-07-09T15:59:40","modified_gmt":"2019-07-09T13:59:40","slug":"logitech-tastaturen-und-muse-angreifbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/07\/09\/logitech-tastaturen-und-muse-angreifbar\/","title":{"rendered":"Logitech Tastaturen und M&auml;use angreifbar"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2019\/07\/09\/logitech-wireless-mouses-and-keyboards-are-vulnerable\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Funktastaturen und \u2013m\u00e4use der Firma Logitech oder der Wireless Presenter sind angreifbar. In den per Funk angebundenen Ger\u00e4ten gibt es schwere Sicherheitsl\u00fccken. <strong>Hinweis:<\/strong> Ich habe den Artikel inzwischen um weitere Informationen erg\u00e4nzt.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/e585ee01fd844c8f9ce1b9c04052adb9\" alt=\"\" width=\"1\" height=\"1\" \/>Es ist ein ganzes Arsenal an Logitech-Peripherieger\u00e4ten, welches \u00fcber Funk an Rechner angebunden werden kann. Alle diese Peripherieger\u00e4te verwenden den gleichen Unifying-USB-Funkempf\u00e4nger zur Kopplung. Und diese Funkverbindung ist \u00fcber Sicherheitsl\u00fccken im \u00dcbertragungsprotokoll angreifbar.<\/p>\n<h2>Datenabgriff und Befehlseingaben m\u00f6glich<\/h2>\n<p>Durch die Schwachstellen ist es m\u00f6glich, in den Datenverkehr dieser Peripherieger\u00e4te einzudringen und die Daten abzugreifen. Dadurch w\u00e4re es m\u00f6glich, eine Funktastatur auf Tastenanschl\u00e4ge zu pr\u00fcfen und so ggf. Kennworteingaben abzugreifen.<\/p>\n<p><img decoding=\"async\" title=\"KRITIS-Netzwerk\" src=\"https:\/\/i.imgur.com\/yNk8TvY.jpg\" alt=\"KRITIS-Netzwerk\" \/><br \/>\n(Quelle: Pexels <a href=\"https:\/\/www.pexels.com\/de\/u\/markusspiske\/\">Markus Spiske<\/a> CC0 Lizenz)<\/p>\n<p>Alternativ besteht die M\u00f6glichkeit, dass Angreifer sich \u00fcber die Funkverbindung als Peripherieger\u00e4t ausgeben und dann eigene Befehle an den Rechner senden. So lie\u00dfe sich ein System kompromittieren.<\/p>\n<h2>Security-Experte deckt das Ganze auf<\/h2>\n<p>Die Schwachstellen wurden vom Security-Experten Marcus Mengs identifiziert, der seine Erkenntnisse mit heise teilte. Laut heise sind alle Logitech-Ger\u00e4te, die mit der Unifying-Funktechnik im 2,4 GHz-Bereich arbeiten, angreifbar.<\/p>\n<p>Diese Unifying-USB-Empf\u00e4nger werden seit 2009 bis heute mit kabellosen Tastaturen und M\u00e4usen bei Einsteigerprodukten und Spitzenmodellen ausgeliefert. Betroffenen USB-Receiver erkennt man an einem kleinen orangefarbenen Logo mit einem Stern, welches auf dem Geh\u00e4use aufgedruckt ist. Der nachfolgende Tweet zeigt eine Abbildung.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">If you want to determine if your Logitech dongle is vulnerable (using the Unifying RF tech), all vulnerable dongles have this orange star on their side. <a href=\"https:\/\/t.co\/sSTiE2H2ik\">pic.twitter.com\/sSTiE2H2ik<\/a><\/p>\n<p>\u2014 Catalin Cimpanu (@campuscodi) <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1148523884087533569?ref_src=twsrc%5Etfw\">9. Juli 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Heise hat <a href=\"https:\/\/www.heise.de\/ct\/artikel\/c-t-deckt-auf-Tastaturen-und-Maeuse-von-Logitech-weitreichend-angreifbar-4464149.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesen Artikel<\/a> zum betreffenden Thema mit weiteren Details ver\u00f6ffentlicht.<\/p>\n<p><strong>Erg\u00e4nzung: <\/strong>Das Ganze wurde wohl im Rahmen einer koordinierten Offenlegung ver\u00f6ffentlicht, d.h. Logitech ist \u00fcber die Sachlage informiert. Mengs hat die betreffenden Informationen auf <a href=\"https:\/\/github.com\/mame82\/misc\/blob\/master\/logitech_vuln_summary.md\" target=\"_blank\" rel=\"noopener noreferrer\">GitHub<\/a> eingestellt, wie ich <a href=\"https:\/\/twitter.com\/mame82\/status\/1148195179494563842\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Tweet<\/a> entnehme.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">Summary of new\/old Logitech vulnerabilities<a href=\"https:\/\/t.co\/CQ5ZFQolPX\">https:\/\/t.co\/CQ5ZFQolPX<\/a><\/p>\n<p>Disclosure timeline:<a href=\"https:\/\/t.co\/DPWeADQtYf\">https:\/\/t.co\/DPWeADQtYf<\/a><\/p>\n<p>\u2014 Marcus Mengs (@mame82) <a href=\"https:\/\/twitter.com\/mame82\/status\/1148195179494563842?ref_src=twsrc%5Etfw\">8. Juli 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Dieser <a href=\"https:\/\/github.com\/mame82\/misc\/blob\/master\/logitech_vuln_summary.md\" target=\"_blank\" rel=\"noopener noreferrer\">GitHub-Artikel<\/a> f\u00fchrt wesentlich detaillierter aus, was an Angriffen m\u00f6glich ist, als das was heise in seinem Beitrag aufbereitet hat. So k\u00f6nnen sich auch Funk-M\u00e4use und Presenter als 'Funktastaturen' ausgeben und Befehle an das gekoppelte Ger\u00e4t senden. Die Angreifbarkeit der Logitech-Peripherie h\u00e4ngt dabei vom Patchstand der Komponenten ab. Auf Twitter hat Marcus Mengs bereits im Februar 2019 ein Proof of Concept samt Video ver\u00f6ffentlicht.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">Logitech Unifying PoC2: After the PoC of eavesdropping a fully patched link encrypted Unifying device, here's another one for Keystroke injection on hardware where MouseJack issues have been addressed with current patches<a href=\"https:\/\/t.co\/t3wOHkTvdE\">https:\/\/t.co\/t3wOHkTvdE<\/a><\/p>\n<p>\u2014 Marcus Mengs (@mame82) <a href=\"https:\/\/twitter.com\/mame82\/status\/1095272849705783296?ref_src=twsrc%5Etfw\">12. Februar 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Da Logitech damals das Ganze noch untersuchte, hatte Mengs seinerzeit keine weiteren Details offen gelegt. In einer <a href=\"https:\/\/twitter.com\/mame82\/status\/1144356418130194432\" target=\"_blank\" rel=\"noopener noreferrer\">Folge von Tweets<\/a> hat Mengs seine Timeline f\u00fcr die Ver\u00f6ffentlichung publik gemacht hat.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">Announcement: Disclosure timeline for material from Logitech vulnerability research:<\/p>\n<p>\u2014 Marcus Mengs (@mame82) <a href=\"https:\/\/twitter.com\/mame82\/status\/1144356418130194432?ref_src=twsrc%5Etfw\">27. Juni 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">2) Hardwaretool LOGITacker, about 2 weeks<br \/>\n&#8211; firmware for nrf52840 dongle<br \/>\n&#8211; no external software needed<br \/>\n&#8211; forced pairing<br \/>\n&#8211; sniff device pairing and derive encryption keys<br \/>\n&#8211; encrypted and plain keystroke injection<br \/>\n&#8211; devices discovery and storage<br \/>\n&#8211; bypass for input filters<br \/>\n&#8211; source<\/p>\n<p>\u2014 Marcus Mengs (@mame82) <a href=\"https:\/\/twitter.com\/mame82\/status\/1144361811912904705?ref_src=twsrc%5Etfw\">27. Juni 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Mittlerweile sind den Schwachstellen CVE-Nummern (z.B. CVE-2019-1305, CVE-2019-13055 etc.) zugeordnet. Auf GitHub hat er zu den einzelnen Angriffsvektoren Details ver\u00f6ffentlicht.<\/p>\n<h2>Problem: Veraltete Firmware, seit 2016 bekannt<\/h2>\n<p>Hier ein Beispiel, wo der Hase teilweise im Pfeffer liegt. Drahtlose Logitech-Tastaturen verschl\u00fcsseln zwar ihre Tastenanschl\u00e4ge, bevor sie an den Empf\u00e4nger gesendet werden. Es wird sogar eine benutzerdefinierte AES CTR-Implementierung wird verwendet, um zu verhindern, dass ein Angreifer beliebige Tastenanschl\u00e4ge einspeist. Die Implementierung von Unifying-Empf\u00e4ngern mit veralteter Firmware hat mehrere Probleme:<\/p>\n<ul>\n<li>Der Empf\u00e4nger erzwingt keine Inkrementierung des AES CTR-Z\u00e4hlers f\u00fcr aufeinanderfolgende RF-Frames. Dies erm\u00f6glicht Wiederholungsangriffe und die Wiederverwendung des Z\u00e4hlers mit einem modifizierten Chiffriertext.<\/li>\n<li>Ist der Klartext eines Tastenanschlags einer verschl\u00fcsselten Tastatur-RF-Frames bekannt, k\u00f6nnte ein Angreifer damit den Schl\u00fcssel , mit dem der Frame mit diesem spezifischen Z\u00e4hler verschl\u00fcsselt wurde, berechnen bzw. wiederherstellen.<\/li>\n<\/ul>\n<p>Lange Rede, kurzer Sinn: Letztendlich ist der Angreifer in der Lage, den jeweiligen RF-Frame mit neuem Klartext (andere Tastendr\u00fccke) zu modifizieren. In Kombination mit der M\u00f6glichkeit, den Z\u00e4hler wiederzuverwenden, k\u00f6nnte der Angreifer beliebige Tastenanschl\u00e4ge in die Funkverbindung injizieren. Das Problem besteht bei Unifying-Empf\u00e4ngern, die nicht gegen die jeweilige Schwachstelle gepatcht wurden. Diese Schwachstelle wurde bereits 2016 von <a href=\"https:\/\/github.com\/BastilleResearch\/mousejack\/blob\/master\/doc\/advisories\/bastille-2.logitech.public.txt\" target=\"_blank\" rel=\"noopener noreferrer\">Bastille-Research<\/a> als \"KeyJack\" bezeichnet. Dies ist also ein gutes Beispiel f\u00fcr eine Schwachstelle, die nicht direkt vom Ger\u00e4t abh\u00e4ngt.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">To help in a discussion, excerpt from material which will be disclosed on Thursday <a href=\"https:\/\/t.co\/xRUAmVC5yg\">pic.twitter.com\/xRUAmVC5yg<\/a><\/p>\n<p>\u2014 Marcus Mengs (@mame82) <a href=\"https:\/\/twitter.com\/mame82\/status\/1148317988203966466?ref_src=twsrc%5Etfw\">8. Juli 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Mengs hat nun damit begonnen, <a href=\"https:\/\/twitter.com\/mame82\" target=\"_blank\" rel=\"noopener noreferrer\">auf Twitter<\/a> weitere Informationen und Grafiken, wie in oben gezeigtem Tweet zu ver\u00f6ffentlichen.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">Researcher found 4 new vunerabilities. Logitech said it will patch only 2, in August 2019.<\/p>\n<p>CVE-2019-13052 and CVE-2019-13053 will not be patched. CVE-2019-13054 and CVE-2019-13055 to receive patches.<\/p>\n<p>All vulns allow passive keystroke sniffing and active keystroke injections<\/p>\n<p>\u2014 Catalin Cimpanu (@campuscodi) <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1148523561545547777?ref_src=twsrc%5Etfw\">9. Juli 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Erg\u00e4nzung: Catalin Cimpanu hat gerade damit begonnen, einige Infos zu ver\u00f6ffentlichen. Logitec will nur zwei der Schwachstellen zum 2. August 2019 schlie\u00dfen.<\/p>\n<h2>Wireless Presenter ebenfalls angreifbar<\/h2>\n<p>Ich hatte es mitbekommen, und Blog-Leser hatten mich darauf hingewiesen. Aber oft stehen so viele Themen an, dass mir die Zeit fehlt. Dass der Wireless Presenter \u00fcber Funk angreifbar ist und die gleichen Schwachstellen aufweist, hatte heise vor einigen Wochen im Beitrag <a href=\"https:\/\/www.heise.de\/security\/meldung\/Logitech-Wireless-Presenter-ueber-Funk-angreifbar-4370489.html\" target=\"_blank\" rel=\"noopener noreferrer\">Logitech Wireless Presenter \u00fcber Funk angreifbar<\/a> thematisiert. Laut Mengs akzeptieren die meisten Logitech-Pr\u00e4sentations-Klicker (z.B. R400, R700, R800) einfache Tastenanschl\u00e4ge.<\/p>\n<p>Das Einzige, was ein Angreifer ben\u00f6tigt, um sich als das eigentliche Ger\u00e4t auszugeben, ist die verwendete RF-Adresse. Diese Adresse k\u00f6nnte durch die \u00dcberwachung des RF-Verkehrs entdeckt werden (pseudopromiskuitiver Modus, wie von Travis Goodspeed oder Software Defined Radio vorgeschlagen). Sobald die Adresse bekannt ist, kann der Angriff direkt durchgef\u00fchrt werden. Details finden sich ebenfalls im gerade frisch ver\u00f6ffentlichten <a href=\"https:\/\/github.com\/mame82\/misc\/blob\/master\/logitech_vuln_summary.md\" target=\"_blank\" rel=\"noopener noreferrer\">GitHub-Beitrag<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Funktastaturen und \u2013m\u00e4use der Firma Logitech oder der Wireless Presenter sind angreifbar. In den per Funk angebundenen Ger\u00e4ten gibt es schwere Sicherheitsl\u00fccken. Hinweis: Ich habe den Artikel inzwischen um weitere Informationen erg\u00e4nzt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-220270","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/220270","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=220270"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/220270\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=220270"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=220270"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=220270"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}