Angriffswerkzeuge gegen Logitechs Funktechnik "Unifying" verfügbar
MSI I Love You 3000 AMD

Angriffswerkzeuge gegen Logitechs Funktechnik "Unifying" verfügbar

Meldung von doelf, Donnerstag der 25.07.2019, 14:00:15 Uhr

Der Sicherheitsexperte Marcus Mengs (@mame82) hat zwei Angriffswerkzeuge veröffentlicht, die mehrere Sicherheitslücken in Logitechs proprietärer 2,4-GHz-Funktechnik "Unifying" ausnutzen. Die passende Hardware bekommt man bei Anbietern wie Farnell für nicht einmal 10 Euro.

LOGITacker: Komplettlösung zum Schleuderpreis
Das primäre Angriffswerkzeug heißt "LOGITacker", es ist als Stand-Alone-Werkzeug konzipiert und stellt eine Kommandozeile über den USB-Anschluss zur Verfügung. Wie der Name schon andeutet, hat Mengs den LOGITacker ganz gezielt auf Logitech-Hardware zugeschnitten und konnte daher zahlreiche Optimierungen vornehmen, darunter die automatische Erkennung von Unifying-Geräten. Als Hardware stehen vier USB-Dongle zur Auswahl (Nordic nRF52840 Dongle pca10059, MakerDiary MDK Dongle, MakerDiary MDK und April Brother Dongle), wobei die Platine von Nordic die größte Verbreitung aufweist und im Internet schon für unter 10 Euro zu finden ist. Die benötigte Firmware hat Mengs auf GitHub veröffentlicht. Sie funktioniert für die Angriffsvarianten MouseJack, das erzwungene Pairing neuer Geräte sowie passives (CVE-2019-13052) und aktives Abfangen der Schlüssel (CVE-2019-13054 und CVE-2019-13055).

mjackit für die übrigen Schwachstellen
Mit der aktuellen Version des LOGITackers lassen sich zwei Angriffsvarianten noch nicht ausnutzen. KeyJack und dessen Weiterentwicklung CVE-2019-13053, welche auch ohne Schlüsselkenntniss funktioniert, kann man derweil über ein zweites Angriffswerkzeug namens mjackit attackieren, das Mengs ebenfalls auf GitHub veröffentlicht hat. mjackit benötigt CrazyRadioPA (Kostenpunkt unter 30 Euro) als Hardware-Komponente und sollte ursprünglich Mengs Allzweckwaffe werden, doch mit dem Wechsel zur preiswerteren Hardware hat der Sicherheitsexperte die Weiterentwicklung eingestellt. In seiner derzeitigen Form ist mjackit in erster Linie eine Demonstration, auf der interessierte Entwickler ihre eigenen Projekte aufbauen können. Die Verwendung in kommerziellen Produkten schließt Mengs allerdings aus.

Für Leser, die die bisherige Berichterstattung nicht verfolgt haben, folgt eine Zusammenfassung der diversen Sicherheitslücken:

Verschlüsselten Tastenanschlag ohne Schlüsselkenntnisse einschleusen
Im Jahr 2016 hatte Bastille Research einen Angriff auf die Unifying-Receiver, welche als Funkempfänger für diverse Produkte von Logitech dienen, beschrieben (CVE-2016-10761). Dieser erlaubte das Einschleusen beliebiger Tastenanschläge in eine verschlüsselte Verbindung. Obwohl Logitech diese Lücke gestopft hat, finden sich im Handel auch heute noch Geräte mit alter und somit unsicherer Firmware. Darüber hinaus hat Marcus Mengs einen Weg dokumentiert, wie sich die Schutzmaßnahmen des Herstellers umgehen lassen (CVE-2019-13053). Hierzu benötigt der Angreifer einmalig Zugang zur Tastatur, um ein und die selbe Taste 12 bis 20 mal zu drücken und die dabei generierte verschlüsselte Übertragung aufzuzeichnen. Mit den gewonnenen Daten lässt sich die Verschlüsselung dauerhaft brechen und man kann dem Unifying-Receiver wieder beliebige Tastenanschläge unterschieben. Laut Logitech soll diese Schwachstelle nicht beseitigt werden.

Schlüssel für Unifying-Verbindung beim Pairing passiv abfangen
Ein Angreifer in Funkreichweite kann den Schlüsselaustausch beim Pairing der Geräte aufzeichnen und die schwache Verschlüsselung dank simpler Schüssel knacken. Im Anschluss kann er Tastatureingaben mitschneiden und auch eigene einfügen (CVE-2019-13052). Besteht physischer Zugang zum Receiver, kann durch dessen Abziehen und wieder Einstecken ein Pairing gezielt provoziert werden. Eine Fehlerbehebung seitens Logitech ist nicht geplant (und technisch vermutlich auch nicht möglich). In seinen Beispielen zeigt Mengs, wie diese Strategie bei der Tastatur K400+ und der Maus MX Anywhere 2S funktioniert.

Schlüssel für Unifying-Verbindung aktiv abfangen
Dank nicht dokumentierter Befehle und eines unsauberen Datenschutzes lassen sich die Schlüssel auch direkt vom Receiver auslesen (CVE-2019-13055). Dazu braucht der Angreifer zwar physischen Zugriff auf das Gerät, doch das Auslesen der Schlüssel für alle mit dem Receiver verpaarten Geräte dauert weniger als eine Sekunde. Anhand der Tastatur K360 belegt Mengs, wie sich auf diese Weise ebenfalls Eingaben mitschneiden und Tastenbetätigungen einschleusen lassen. Das selbe Problem betrifft auch die Receiver, welche Logitech seinen Presentern beilegt (CVE-2019-13054). Die zugehörigen Demos umfassen die Presenter R500 und SPOTLIGHT. Logitech will im Laufe des August 2019 eine Lösung für diese Sicherheitslücken bereitstellen.

Pairing neuer Geräte erzwingen
Dass sich beim Unifying-Receiver das Pairing mit neuen Geräten erzwingen lässt, ohne dass der Benutzer den Empfänger zuvor in den Pairing-Modus schaltet, hatte Bastille Research im Jahr 2016 dokumentiert. Mengs belegt, dass dies weiterhin möglich ist. Über die neu angemeldeten Geräte kann der Angreifer beliebige Eingaben vornehmen, das Abfangen von Tastatureingaben ist hingegen nicht möglich.

Tastenanschlag bei alter Firmware einschleusen
Bastille Research und die SySS GmbH hatten 2016 Angriffe auf die Unifying-Receiver von Mäusen und Presentern aufgezeigt. Beispielsweise akzeptierten die Presenter R400, R700 und R800 unverschlüsselt übertragene Tastenanschläge, so dass der Angreifer einzig die Funkadresse des Empfängers aufspüren musste, um eigene Befehle übermitteln zu können. Wurden die Unifying-Receiver mit Tastaturen oder Mäusen genutzt, fand die Übertragung zwar verschlüsselt statt, es wurden aber auch unverschlüsselte Daten verarbeitet. Logitech hat dieses Verhalten zwar mit Firmware-Updates unterbunden, doch es finden sich immer noch Geräte mit alter Firmware im Verkauf.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]