Logitechs mjukvara gör att angripare kan styra datorer från webben

Logitechs mjukvara gör att angripare kan styra datorer från webben

Googles Project Zero varnar för ett säkerhetshål i Logitechs mjukvara, vilket gör det möjligt för angripare att skicka tangentbordskommandon till användares datorer över webben.

Under de gångna åren har säkerhetsbrister i såväl mjukvara som hårdvara blivit än mer relevanta, inte minst då världen förlitar sig på digitala system i en allt större omfattning. Både Meltdown och Spectre avslöjade brister i moderna processorarkitekturer, och mindre säkerhetshål uppdagas på regelbunden basis.

En grupp som aktivt arbetar med detta är Googles säkerhetssatsning Project Zero, som nu har publicerat uppgifter om en brist i mjukvaran Logitech Options. Programmet är nämligen konstant igång, och håller en port öppen för anrop från webben. När dessa anrop inkommer görs sedan ingen kontroll överhuvudtaget gällande ursprunget.

Detta gör det möjligt för eventuella angripare att skicka simulerade tangentslag via en webbplats, där dessa enbart behöver vara konfigurerade enligt samma logik som Logitechs utvecklingskit för tangentbordsreglaget "Crown". Vid anrop krävs förvisso ett process-ID som användaren har ägarskap för, men då det inte finns några begränsningar på antalet anrop som får göras kan detta gissas på kort tid genom att skicka stora mängder anrop, en så kallad brute force-metod.

Därefter kan kommandon skickas fritt till användarens dator. Tavis Ormandy rapporterade felet till Logitech den 12 september, och den 18 september svarade företaget att de skulle lägga till kontroller för ursprung och täppa till säkerhetshålet. Detta gjordes ej inom tidsfristen där buggen hålls hemlig, varpå Project Zero nu publicerat information om säkerhetsbristen på sin webbplats.

Oroade användare kan dock pusta ut, då Logitech nyligen släppte en uppdatering till Options med åtgärder som löser säkerhetsbristerna. Användare uppmanas därför att ladda ned den senaste uppdateringen från bolagets webbplats.

Läs mer om den senaste tidens säkerhetsläckor:

Kommentarer till artikeln

39 debattinlägg

Skicka en rättelse
6

De stora grafikkortsnyheterna från CES 2019

Under CES 2019 befäste Nvidia rollen som ledare på marknaden för grafikkort med flera stora nyheter. AMD passade på att spänna musklerna med Radeon VII i väntan på arkitekturen Navi. Läs mer

29

Intel planerar bygga ut fabrik för tillverkning på 7 nanometer

Även fast utvecklingen av 10 nanometer fortfarande är i full gång förbereder Intel redan för nästa steg, med en ny fabrik för tillverkning på 7 nanometer. Läs mer

12

Testpilot: Devolo Magic 2 Wifi – trådlöst nätverk med mesh-stöd via elnätet

I Devolo Magic 2 kombineras nätverk via elnätet med mesh-funktionalitet. Testpiloten Björn Endre sätter produkten på prov. Läs mer

51

Nvidia Geforce GTX 1660 Ti presterar nära 20 procent bättre än GTX 1060

Namnuppgiften Geforce GTX 1660 Ti stärks ytterligare när det får sällskap av prestandasiffror, som mer eller mindre är i linje med antalet CUDA-kärnor jämfört mot GTX 1060. Läs mer

59

Blizzards jobbannons antyder om nytt Diablo till PC och spelkonsoler

Ryktena om ett Diablo IV stärks ytterligare i och med en jobbannons på Blizzards webbplats, där företaget söker personer med erfarenhet av rollspel för PC och spelkonsoler. Läs mer

54

Huawei spår sämre tider till följd av hot om nationell säkerhet

Förbud mot Huaweis telekomutrustning och tilltagande skepsis mot bolaget gör att VD:n i ett internt mejl varnar om sämre tider och att "mediokra anställda" kommer sägas upp. Läs mer

34

Google fälls för GDPR-brott i Frankrike – krävs på en halv miljard kronor

Frankrikes myndighet CNIL anser att Google bryter mot dataskyddsförordningen genom bristande information kring riktade annonser. För detta straffas de med en nota på 512 miljoner kronor. Läs mer

33

Säkerhetshål upptäckt i Wifi-kretsar – miljontals enheter påverkade

Säkerhetsforskare varnar nu för ett säkerhetshål i nätverkskretsar från bland annat tillverkaren Marvell, vilka återfinns i miljontals enheter såsom spelkonsoler och bärbara datorer. Läs mer

I samarbete med Loopia
22

Del 2: Så fungerar Wordpress – hos Loopia

I det andra avsnittet om hur Wordpress fungerar hos Loopia visar Nikka hur anslutningarna till webbplatser säkras med HTTPS för högre säkerhet och bättre ranking i Googles sökresultat. Läs mer

59

Dreamfilms grundare får sänkt straff – döms till 650 000 kronor i skadestånd

Högsta domstolen prövar domen mot de fyra personer som står bakom fildelningssajten Dreamfilm och sänker skadeståndet avsevärt. Läs mer

82

Rykte: AMD "Gonzalo" är systemkrets med Zen och Navi för framtida spelkonsol

Med över fem år på nacken börjar det bli hög tid för nya spelkonsoler från Sony och Microsoft. Nu hittar information ut om systemkretsen "Gonzalo" som sägs ligga till grund för en av enheterna. Läs mer

79

Microsoft efterfrågar användarnas förslag för att förbättra spelande på Windows

Microsoft strävar efter att göra spelupplevelsen på PC bättre och påbörjar en undersökning, där spelarna får komma med förslag på nya funktioner. Läs mer