Imagen: Logitech

En 2009, Logitech introdujo una tecnología llamada Unifying para conectar varios dispositivos inalåmbricos (por ejemplo, un teclado y un ratón) a un mismo receptor USB. Todos los teclados y ratones que usan esa tecnología, así como los periféricos para gamers de la marca Lightspeed, son vulnerables.

Un agujero de seguridad descubierto por el investigador Marcus Mengs permite a un atacante cercano espiar pulsaciones de teclado y, por lo tanto, obtener las contraseñas o leer los mensajes de la víctima, así como enviar comandos personalizados a su ordenador, por ejemplo para ejecutar un código malicioso.

En este vídeo, Mengs descifra la comunicación entre un teclado Logitech y su receptor Unifying a través de un segundo ordenador con un sniffer USB de $10. Necesita acceder físicamente al receptor durante unos segundos, pero puede registrar todas las entradas de teclado que se realicen a partir de entonces:

Advertisement

En este otro vídeo, Mengs inserta un código malicioso a través del periférico de la víctima, al que solo tuvo que acceder físicamente una vez. Se trata de un mando a distancia Logitech Spotlight para presentaciones. La inyección de código puede realizarse de forma remota a través de la señal de radio de 2,4 GHz. No hace falta que la víctima esté conectada a internet, pero sí que esté cerca. Tampoco es necesario descifrar la comunicación con el receptor:

Advertisement

Logitech ha reconocido el problema y anunciado que parchearĂĄ dos de las vulnerabilidades descubiertas por Mengs en agosto. No serĂĄ un proceso automĂĄtico: los usuarios tendrĂĄn que descargar el actualizador de firmware de Logitech y la Ășltima versiĂłn de Unifying para hacerse con el parche.

SegĂșn c’t, otras dos vulnerabilidades se quedarĂĄn sin parchear. Una de ellas permite descifrar la comunicaciĂłn entre los perifĂ©ricos afectados y su receptor durante el proceso de emparejamiento. Logitech dice que el emparejamiento solo debe realizarse “cuando se garantiza que no se produzcan actividades sospechosas dentro de un radio de 10 metros”. AsĂ­ que ya sabes, la prĂłxima vez que emparejes un teclado, mira antes si hay alguien sospechoso cerca.

Advertisement

[c’t]