Das Arbeiten mit kabellosen Tastaturen und Mäusenist sehr komfortabel und weit verbreitet. Die eingesetzte Funktechnik ist oft aber alles andere als sicher. c't, Europas größtes IT- und Tech-Magazin , warnt vor Sicherheitslücken in den Funktastaturen und -Mäusen von Logitech. Ein Angreifer kann durch die Lücken nicht nur Tastatureingaben abhören, sondern sogar den Rechner infizieren. Logitech-Kunden sollten unbedingt die aktuelle Firmware installieren. Ein weiteres Sicherheits-Update ist voraussichtlich im August fällig.
„In vielen drahtlosen Eingabegeräten klaffen gefährliche Sicherheitslücken, durch die ein Angreifer Tastatureingaben mitlesen kann. Eingetippte Mails, Facebook-Nachrichten und sogar Passwörter landen so in fremden Händen, ohne dass man davon etwas mitbekommt. Durch verwundbare USB-Funkempfänger können Cyber-Kriminelle außerdem auf den Rechner zugreifen, Schadsoftware installieren und Daten abgreifen", erklärt c't-Sicherheitsexperte Ronald Eikenberg.
Die Sicherheitslücken klaffen in der Unifying-Funktechnik, die der Schweizer Hersteller Logitech bei vielen seiner drahtlosen Tastaturen und Mäuse einsetzt. Powerpoint-Steuerungen des Unternehmens sind genauso angreifbar wie Gaming-Produkte der Lightspeed-Serie. Die Zahl der betroffenen Kunden dürfte in die Millionen gehen, da Logitech seit 2009 etliche Geräte mit Unifying-Funk – erkennbar am orangefarbenen Unifying-Logo mit Stern auf dem USB-Empfänger – ausgeliefert hat. Die Funktechnik steckt auch in zahlreichen aktuellen Modellen, vom preiswerten Tastatur-Maus-Set MK540 bis hin zur hochpreisigen High-End-Maus MX Master 2S.
Entdeckt hat die aktuellen Lücken der Security-Experte Marcus Mengs, der c't fortlaufend über seine Ergebnisse informiert hat. „Der Zugriff auf den Empfänger dauert nur wenige Sekunden und dürfte in einem belebten Büro kaum auffallen", merkt Eikenberg an. Durch eine weitere Lücke gelingt der Angriff sogar ohne den Zugriff auf den USB-Empfänger. Diese Lücke ist bereits seit drei Jahren unter dem Namen „MouseJack“ bekannt und wurde von Logitech kurz darauf durch ein Firmware-Update behoben. Allerdings, so die Erkenntnisse der c't-Redaktion, ist dieses Sicherheits-Update mutmaßlich längst nicht bei allen Kunden angekommen. Auch auf seiner Website informierte Logitech nur unzureichend über die bekannten Sicherheitslücken und das wichtige Firmware-Update.
Gegenüber c't bestätigte Logitech die neuen und alten Schwachstellen und versprach eine bessere Kommunikation. Zwei der neu entdeckten Lücken will das Unternehmen im August durch ein Firmware-Update beseitigen, zwei andere sollen jedoch nicht geschlossen werden, weil die Geräte dann nicht mehr untereinander kompatibel wären.
c't-Experte Eikenberg rät Logitech-Kunden, beim Verlassen des Rechners den USB-Funkempfänger abzuziehen und mitzunehmen. Insbesondere wenn man mit personenbezogenen oder gar geheimen Daten hantiert. „Was jetzt jeder Nutzer tun sollte, ist, die aktuelle Firmware zu installieren. Das reicht aber noch nicht, es muss voraussichtlich im August wiederholt werden. Und wem das aufgrund der verbleibenden Lücken zu unsicher ist, der steigt wieder auf verkabelte Geräte um – auch wenn das weniger Komfort bedeutet.“
„In vielen drahtlosen Eingabegeräten klaffen gefährliche Sicherheitslücken, durch die ein Angreifer Tastatureingaben mitlesen kann. Eingetippte Mails, Facebook-Nachrichten und sogar Passwörter landen so in fremden Händen, ohne dass man davon etwas mitbekommt. Durch verwundbare USB-Funkempfänger können Cyber-Kriminelle außerdem auf den Rechner zugreifen, Schadsoftware installieren und Daten abgreifen", erklärt c't-Sicherheitsexperte Ronald Eikenberg.
Die Sicherheitslücken klaffen in der Unifying-Funktechnik, die der Schweizer Hersteller Logitech bei vielen seiner drahtlosen Tastaturen und Mäuse einsetzt. Powerpoint-Steuerungen des Unternehmens sind genauso angreifbar wie Gaming-Produkte der Lightspeed-Serie. Die Zahl der betroffenen Kunden dürfte in die Millionen gehen, da Logitech seit 2009 etliche Geräte mit Unifying-Funk – erkennbar am orangefarbenen Unifying-Logo mit Stern auf dem USB-Empfänger – ausgeliefert hat. Die Funktechnik steckt auch in zahlreichen aktuellen Modellen, vom preiswerten Tastatur-Maus-Set MK540 bis hin zur hochpreisigen High-End-Maus MX Master 2S.
Entdeckt hat die aktuellen Lücken der Security-Experte Marcus Mengs, der c't fortlaufend über seine Ergebnisse informiert hat. „Der Zugriff auf den Empfänger dauert nur wenige Sekunden und dürfte in einem belebten Büro kaum auffallen", merkt Eikenberg an. Durch eine weitere Lücke gelingt der Angriff sogar ohne den Zugriff auf den USB-Empfänger. Diese Lücke ist bereits seit drei Jahren unter dem Namen „MouseJack“ bekannt und wurde von Logitech kurz darauf durch ein Firmware-Update behoben. Allerdings, so die Erkenntnisse der c't-Redaktion, ist dieses Sicherheits-Update mutmaßlich längst nicht bei allen Kunden angekommen. Auch auf seiner Website informierte Logitech nur unzureichend über die bekannten Sicherheitslücken und das wichtige Firmware-Update.
Gegenüber c't bestätigte Logitech die neuen und alten Schwachstellen und versprach eine bessere Kommunikation. Zwei der neu entdeckten Lücken will das Unternehmen im August durch ein Firmware-Update beseitigen, zwei andere sollen jedoch nicht geschlossen werden, weil die Geräte dann nicht mehr untereinander kompatibel wären.
c't-Experte Eikenberg rät Logitech-Kunden, beim Verlassen des Rechners den USB-Funkempfänger abzuziehen und mitzunehmen. Insbesondere wenn man mit personenbezogenen oder gar geheimen Daten hantiert. „Was jetzt jeder Nutzer tun sollte, ist, die aktuelle Firmware zu installieren. Das reicht aber noch nicht, es muss voraussichtlich im August wiederholt werden. Und wem das aufgrund der verbleibenden Lücken zu unsicher ist, der steigt wieder auf verkabelte Geräte um – auch wenn das weniger Komfort bedeutet.“
