Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Auch das aktuelle Maus-Topmodell unterstützt noch die zehn Jahre alte Unifying-Funktechnik. bild: logitec

Kabellose Tastatur oder Maus von Logitech? Dann hast du ein Problem ☠️



Was ist passiert?

Viele kabellose Eingabegeräte des schweizerisch-amerikanischen Herstellers Logitech sind über Funk angreifbar und können ein Sicherheitsrisiko darstellen. Darüber berichtet das deutsche IT-Portal heise.de am Montag. Das Problem: Gewisse Schwachstellen lassen sich nicht beheben.

Bild

screenshot: heise.de

Welche Logitech-Geräte sind betroffen?

Angreifbar sind laut Bericht:

Bild

So sieht der USB-Receiver aus. bild: logitech

Was können Angreifer tun?

Durch das Ausnützen der Sicherheitslücken können Angreifer Tastatureingaben belauschen und so eingetippte Mails, Passwörter etc. aufzeichnen.

Ein Angreifer könne auch selbst aktiv werden und eigene Tastenbefehle an den PC seines Opfers senden. Und das sei nicht weniger gefährlich, denn auf diese Weise lasse sich der Rechner leicht mit Schadcode infizieren.

Das Risiko dürfte für normale User gering sein, weil gezielte Angriffe einen hohen Aufwand bedeuten und wohl nur drohen, wenn es sich um lohnende Ziele handelt.

Was sollen Logitech-Kunden tun?

Die Firmware auf den neusten Stand bringen und sich an grundlegende Vorsichtsmassnahmen halten.

Es ist ziemlich kompliziert, wie aus dem bei heise.de veröffentlichten Beitrag hervorgeht. Denn es bestehen mehrere, zum Teil jahrealte Sicherheitslücken.

Das Problem laut heise.de: Das Installieren der Firmware-Updates sei nicht einfach: Was User tun können:

  1. Zunächst sollte man sicherstellen, dass auf dem USB-Empfänger die aktuelle Firmware installiert ist, damit zumindest die seit 2016 bekannten Sicherheitslöcher gestopft seien. Der Haken: Das klappt nicht mit der Unifying-Software, sonder nur mit dem «Logitech Firmware Update Tool» (SecureDFU), das man installieren muss.
  2. Aber auch nach den Updates bleiben die Unifying-Receiver «nach derzeitigem Stand verwundbar», schreibt heise.de. Logitech rate darum dringend:
«... einen Computer (mit einem USB-Empfänger) immer dort aufzubewahren, wo Fremde nicht physisch darauf zugreifen oder ihn manipulieren können. Darüber hinaus sollten Nutzer die gängigen Sicherheitsmassnahmen ergreifen, um fremden Nutzern den Zugriff zu erschweren.»

Das soll heissen, um auf Nummer sicher zu gehen, müsste man Tastatur und Maus beim Verlassen des Arbeitsplatzes wegschliessen. Das Problem: Ein Angreifer benötige nur einen unbeobachteten Moment und wenige Sekunden Zugriff auf den Receiver, um die Funkverbindung dauerhaft aus der Distanz attackieren zu können.

Das deutsche IT-Portal rät darum:

«Grundsätzlich sollte man sich die Frage stellen, ob es überhaupt eine Funktastatur oder -maus sein muss. Denn am sichersten ist immer noch eine Kabelverbindung.»

quelle: heise.de

Was sagt Logitech?

Gegenüber heise.de versprach das Unternehmen, dass es seine Kunden «auf zwei Kundensupportseiten über die Risiken und die empfohlenen Vorgehensweisen» informieren werde.

Vor zehn Tagen hat Logitech auf seiner Support-Seite einen Beitrag mit dem Titel «Logitech Unifying Receiver Update» veröffentlicht. Darin wird eine Firmware-Aktualisierung in Aussicht gestellt und bestätigt, dass das Unternehmen mit dem Sicherheitsforscher Marcus Mengs in Kontakt stehe.

Der Sicherheitsforscher habe die Schwachstellen in einer kontrollierten Umgebung identifiziert, heisst es.

«Die Schwachstellen wären komplex zu replizieren und würden eine physische Nähe zum Ziel oder sogar den Zugriff darauf erfordern. Dennoch nehmen wir die Privatsphäre unserer Kunden ernst und danken Mengs, dass er uns darauf aufmerksam gemacht hat.»

Logitech-Stellungnahme

(dsc)

DANKE FÜR DIE ♥

Da du bis hierhin gescrollt hast, gehen wir davon aus, dass dir unser journalistisches Angebot gefällt. Wie du vielleicht weisst, haben wir uns kürzlich entschieden, bei watson keine Login-Pflicht einzuführen. Auch Bezahlschranken wird es bei uns keine geben. Wir möchten möglichst keine Hürden für den Zugang zu watson schaffen, weil wir glauben, es sollten sich in einer Demokratie alle jederzeit und einfach mit Informationen versorgen können. Falls du uns dennoch mit einem kleinen Betrag unterstützen willst, dann tu das doch hier.

Würdest du gerne watson und Journalismus unterstützen?

(Du wirst zu stripe.com (umgeleitet um die Zahlung abzuschliessen)

Oder unterstütze uns mit deinem Wunschbetrag per Banküberweisung.

Nicht mehr anzeigen

Die bösartigsten Computer-Attacken aller Zeiten

«Wo finde ich jetzt dieses internet.ch?» – Eltern und Technik

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

29 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
Evan
08.07.2019 13:47registriert October 2015
Dass ein solches Risiko besteht ist eigentlich bei allen kabellosen Eingabegeräten klar.
17813
Melden
Zum Kommentar
Madison Pierce
08.07.2019 13:51registriert September 2015
Dass die Firmware nicht korrekt aktualisiert wurde, ist ein Problem und es ist eine Frechheit von Logitech, das so lange zu verheimlichen.
Ist die Firmware aber mal aktuell, funktionieren nur noch Angriffe, die Zugriff auf den Empfänger oder die Tastatur erfordern. Das ist immer noch unschön, aber nicht mehr so kritisch. Wenn jemand physischen Zugriff auf meine Tastatur hat, kann er noch ganz andere Dinge anstellen.
1121
Melden
Zum Kommentar
Chili5000
08.07.2019 13:44registriert July 2015
"Das Risiko dürfte für normale User gering sein, weil gezielte Angriffe einen hohen Aufwand bedeuten und wohl nur drohen, wenn es sich um lohnende Ziele handelt." Also habe ich kein Problem, Danke!
829
Melden
Zum Kommentar
29

Das steckt hinter den merkwürdigen Paket-SMS, die gerade Tausende Schweizer erhalten

SMS, die über den Lieferstatus bestellter Waren informieren, sind praktisch. Doch aktuell versenden Betrüger massenhaft Fake-SMS im Namen von Paketdiensten. Sie haben es auf Kreditkartennummern abgesehen – und locken die Opfer in eine Abofalle.

Schweizer Smartphone-Nutzer werden von einer neuen Phishing-Welle heimgesucht: Kriminelle versenden grossflächig betrügerische Fake-SMS im Namen von Paketlieferdiensten wie DHL oder FedEx. In den Kurznachrichten ist von einem unzustellbaren Paket die Rede. Die Sendung sei im Verteilzentrum angehalten worden. Am Ende der Nachricht folgt ein Link, mit dem man den Sendestatus verfolgen könne.

Der genaue Wortlaut und der Kurzlink, also die abgekürzte Internetadresse in der Phishing-SMS, können von …

Artikel lesen
Link zum Artikel