En 2009, Logitech introdujo una tecnología llamada Unifying para conectar varios dispositivos inalámbricos (por ejemplo, un teclado y un ratón) a un mismo receptor USB. Todos los teclados y ratones que usan esa tecnología, así como los periféricos para gamers de la marca Lightspeed, son vulnerables.

Un agujero de seguridad descubierto por el investigador Marcus Mengs permite a un atacante cercano espiar pulsaciones de teclado y, por lo tanto, obtener las contraseñas o leer los mensajes de la víctima, así como enviar comandos personalizados a su ordenador, por ejemplo para ejecutar un código malicioso.

En este vídeo, Mengs descifra la comunicación entre un teclado Logitech y su receptor Unifying a través de un segundo ordenador con un sniffer USB de $10. Necesita acceder físicamente al receptor durante unos segundos, pero puede registrar todas las entradas de teclado que se realicen a partir de entonces:

En este otro vídeo, Mengs inserta un código malicioso a través del periférico de la víctima, al que solo tuvo que acceder físicamente una vez. Se trata de un mando a distancia Logitech Spotlight para presentaciones. La inyección de código puede realizarse de forma remota a través de la señal de radio de 2,4 GHz. No hace falta que la víctima esté conectada a internet, pero sí que esté cerca. Tampoco es necesario descifrar la comunicación con el receptor:

Logitech ha reconocido el problema y anunciado que parcheará dos de las vulnerabilidades descubiertas por Mengs en agosto. No será un proceso automático: los usuarios tendrán que descargar el actualizador de firmware de Logitech y la última versión de Unifying para hacerse con el parche.

Según c’t, otras dos vulnerabilidades se quedarán sin parchear. Una de ellas permite descifrar la comunicación entre los periféricos afectados y su receptor durante el proceso de emparejamiento. Logitech dice que el emparejamiento solo debe realizarse “cuando se garantiza que no se produzcan actividades sospechosas dentro de un radio de 10 metros”. Así que ya sabes, la próxima vez que emparejes un teclado, mira antes si hay alguien sospechoso cerca.

Fuente: es.gizmodo.com

Compartir