Logitech verhelpt kwetsbaarheid Craft-toetsenbord met de Options-software
Recentelijk publiceerde een onderzoeker van het Google Project Zero een beveiligingsprobleem met de Logitech Options-software die het bedrijf gebruikt bij zijn muizen en toetsenborden; met de software kunnen de gebruikers software-instellingen van toetsenborden en muizen wijzigen. Een onderdeel van de software bleek onbeveiligd, met een bruteforce zou een hacker toegang kunnen krijgen tot de instellingen voor toetsenborden. Het rapport volgde maanden nadat de onderzoeker, Tavis Ormandy, contact had opgenomen met de Zwitserse fabrikant van accessoires – inmiddels lijkt het probleem te zijn opgelost, zo geeft de fabrikant aan op Twitter.
Logitechs software is voor een redelijk beperkt aantal producten beschikbaar; en het veiligheidsrisico deed zich enkel voor bij de Logitech Craft, het toetsenbord incluis draaischijf. Dat is ook precies waar het om gaat bij het ontdekte veiligheidsrisico, hackers zouden toegang krijgen tot de instellingen van de Crown. Nu kan een hacker daar relatief weinig schade mee aanrichten, maar het was wel enorm gemakkelijk om zo de software te beïnvloeden, zo blijkt uit het onderzoek van Google. De installatie van Logitech Options opende namelijk toegang tot poort 10134 van de webserver, deze server houdt verband met de SDK die gebruikt wordt voor de Crown van het toetsenbord. Toegang tot deze server was afhankelijk van een proces-ID, al langer blijkt dat een proces-ID echter niet zo veilig meer is als soms wordt gedacht.
De maat was vol
Het team achter het onderzoek had Logitech op 18 september op de hoogte gesteld van het probleem, toen er op 11 december nog geen wijziging was doorgevoerd door Logitech om het probleem op te lossen, werd het rapport gepubliceerd. Daaropvolgend was de Zwitserse fabrikant zeer snel om met een update te komen, op 13 december volgde namelijk al een update die specifiek de veiligheidsproblemen weg moet nemen. De update komt in de vorm van versie 7.0.0.564 en moet ook andere kleinere bugs oplossen, als laatste is het mogelijk om voortaan je gegevens via de cloud van Logitech te synchroniseren. Alle gebruikers van Logitech Options krijgen per direct een melding om de update van het programma te downloaden, ook kan je op de website van Logitech terecht om de update te downloaden.