Imagen: Logitech

En 2009, Logitech introdujo una tecnología llamada Unifying para conectar varios dispositivos inalámbricos (por ejemplo, un teclado y un ratón) a un mismo receptor USB. Todos los teclados y ratones que usan esa tecnología, así como los periféricos para gamers de la marca Lightspeed, son vulnerables.

Un agujero de seguridad descubierto por el investigador Marcus Mengs permite a un atacante cercano espiar pulsaciones de teclado y, por lo tanto, obtener las contrase√Īas o leer los mensajes de la v√≠ctima, as√≠ como enviar comandos personalizados a su ordenador, por ejemplo para ejecutar un c√≥digo malicioso.

En este vídeo, Mengs descifra la comunicación entre un teclado Logitech y su receptor Unifying a través de un segundo ordenador con un sniffer USB de $10. Necesita acceder físicamente al receptor durante unos segundos, pero puede registrar todas las entradas de teclado que se realicen a partir de entonces:

Advertisement

En este otro v√≠deo, Mengs inserta un c√≥digo malicioso a trav√©s del perif√©rico de la v√≠ctima, al que solo tuvo que acceder f√≠sicamente una vez. Se trata de un mando a distancia Logitech Spotlight para presentaciones. La inyecci√≥n de c√≥digo puede realizarse de forma remota a trav√©s de la se√Īal de radio de 2,4 GHz. No hace falta que la v√≠ctima est√© conectada a internet, pero s√≠ que est√© cerca. Tampoco es necesario descifrar la comunicaci√≥n con el receptor:

Advertisement

Logitech ha reconocido el problema y anunciado que parchear√° dos de las vulnerabilidades descubiertas por Mengs en agosto. No ser√° un proceso autom√°tico: los usuarios tendr√°n que descargar el actualizador de firmware de Logitech y la √ļltima versi√≥n de Unifying para hacerse con el parche.

Seg√ļn c‚Äôt, otras dos vulnerabilidades se quedar√°n sin parchear. Una de ellas permite descifrar la comunicaci√≥n entre los perif√©ricos afectados y su receptor durante el proceso de emparejamiento. Logitech dice que el emparejamiento solo debe realizarse ‚Äúcuando se garantiza que no se produzcan actividades sospechosas dentro de un radio de 10 metros‚ÄĚ. As√≠ que ya sabes, la pr√≥xima vez que emparejes un teclado, mira antes si hay alguien sospechoso cerca.

Advertisement

[c’t]