Logitechs mjukvara gör att angripare kan styra datorer från webben

Logitechs mjukvara gör att angripare kan styra datorer från webben

Googles Project Zero varnar för ett säkerhetshål i Logitechs mjukvara, vilket gör det möjligt för angripare att skicka tangentbordskommandon till användares datorer över webben.

Under de gångna åren har säkerhetsbrister i såväl mjukvara som hårdvara blivit än mer relevanta, inte minst då världen förlitar sig på digitala system i en allt större omfattning. Både Meltdown och Spectre avslöjade brister i moderna processorarkitekturer, och mindre säkerhetshål uppdagas på regelbunden basis.

En grupp som aktivt arbetar med detta är Googles säkerhetssatsning Project Zero, som nu har publicerat uppgifter om en brist i mjukvaran Logitech Options. Programmet är nämligen konstant igång, och håller en port öppen för anrop från webben. När dessa anrop inkommer görs sedan ingen kontroll överhuvudtaget gällande ursprunget.

Detta gör det möjligt för eventuella angripare att skicka simulerade tangentslag via en webbplats, där dessa enbart behöver vara konfigurerade enligt samma logik som Logitechs utvecklingskit för tangentbordsreglaget "Crown". Vid anrop krävs förvisso ett process-ID som användaren har ägarskap för, men då det inte finns några begränsningar på antalet anrop som får göras kan detta gissas på kort tid genom att skicka stora mängder anrop, en så kallad brute force-metod.

Därefter kan kommandon skickas fritt till användarens dator. Tavis Ormandy rapporterade felet till Logitech den 12 september, och den 18 september svarade företaget att de skulle lägga till kontroller för ursprung och täppa till säkerhetshålet. Detta gjordes ej inom tidsfristen där buggen hålls hemlig, varpå Project Zero nu publicerat information om säkerhetsbristen på sin webbplats.

Oroade användare kan dock pusta ut, då Logitech nyligen släppte en uppdatering till Options med åtgärder som löser säkerhetsbristerna. Användare uppmanas därför att ladda ned den senaste uppdateringen från bolagets webbplats.

Läs mer om den senaste tidens säkerhetsläckor:

Kommentarer till artikeln

39 debattinlägg

Skicka en rättelse
10

Microsoft avslutar stödet för Windows 10 Mobile december 2019

Mjukvarujätten Microsoft meddelar nu att bolagets satsning på mobiltelefoner blir ett avslutat kapitel den 10 december 2019, då de sista säkerhetsuppdateringarna släpps. Läs mer

13

Testpilot: AOC Agon AG273QCX – gamingskärm med AMD Freesync och 144 Hz

Testpilot Björn Höjing tar en närmare titt på AOC:s senaste 27-tumsskärm, med välvd VA-panel och 144 Hz ackompanjerat av AMD Freesync. Läs mer

21

De stora processornyheterna från CES 2019

Efter att dammet från CES lagt sig passar SweClockers på att sammanfatta de största processornyheterna från mässan, såsom AMD:s Ryzen 3000-serie och Intel Ice Lake för bärbara. Läs mer

4

Fredagspanelen 167: Geforce RTX 2060, Radeon VII och nyheter från CES 2019

Det är dags för årets första fredagspanel och med CES-mässan i backspegeln finns det mycket för Jacob och Jonas att prata om, däribland Geforce RTX 2060 och AMD:s kommande Radeon VII. Läs mer

28

Entusiast utvecklar Quake 2-demo med stöd för path tracing i realtid

Demot till 22 år gamla Quake II uppdateras av en entusiast, som implementerar stöd för realistisk ljussättning med hjälp av path tracing. Läs mer

135

Forumet: Vad är tanken bakom caps lock?

Medlemmen "crew seven" funderar kring caps lock och andra sällan använda tangenter. Har du funderat över samma sak eller använder du rentav caps lock? Gå in i tråden! Läs mer

20

Cooler Master lanserar spelmus med styrkors och OLED-panel

Cooler Master presenterar sin spelmus MM830, som bland annat särskiljer sig genom ett styrkors på pekdonets vänstra sida. Läs mer

93

Galleriet: Drickaback blir chassi i bygget The Red One

I sitt galleri från 2010 visar proffsmoddaren "C4B12" sitt bygge The Red One, som är ett kompakt system där en modifierad Coca Cola-back får agera chassi. Läs mer

15

Jonas firar 10 år på CES – vi snackar teknikminnen och tveksamma hotell

Det senaste decenniet har Jonas inlett året genom att packa väskan och resa till Las Vegas. Under årets CES passar vi på att prata om vad som förändrats – och vad som är sig likt. Läs mer

63

AMD Radeon VII får stöd för DirectML – kan bli alternativ till Nvidia DLSS

Kommande Radeon VII får stöd för DirectX-tillägget DirectML, vilket likt Nvidias DLSS-teknik kan användas för att skala upp bilden i spel med hjälp av maskininlärning. Läs mer

102

Över 20 miljoner lösenord hittar ut på webben efter rekordstor läcka

En säkerhetsforskare rapporterar nu om vad som kallas Collection 1-läckan, vilken innehåller både lösenord och mejladresser till konton från ett stort antal webbplatser. Läs mer

42

Battle royale-läge i Call of Duty: Black Ops 4 gratis att testa

En av de stora nyheterna i Call of Duty: Black Ops 4 är battle royale-läget Blackout, vilket blir gratis att spela mellan 17 och 24 januari. Läs mer