„In vielen drahtlosen Eingabegeräten klaffen gefährliche Sicherheitslücken, durch die ein Angreifer Tastatureingaben mitlesen kann. Eingetippte Mails, Facebook-Nachrichten und sogar Passwörter landen so in fremden Händen, ohne dass man davon etwas mitbekommt. Durch verwundbare USB-Funkempfänger können Cyber-Kriminelle außerdem auf den Rechner zugreifen, Schadsoftware installieren und Daten abgreifen", erklärt c’t-Sicherheitsexperte Ronald Eikenberg.
Die Sicherheitslücken klaffen in der Unifying-Funktechnik, die der Schweizer Hersteller Logitech bei vielen seiner drahtlosen Tastaturen und Mäuse einsetzt. Powerpoint-Steuerungen des Unternehmens sind genauso angreifbar wie Gaming-Produkte der Lightspeed-Serie. Die Zahl der betroffenen Kunden dürfte in die Millionen gehen, da Logitech seit 2009 etliche Geräte mit Unifying-Funk – erkennbar am orangefarbenen Unifying-Logo mit Stern auf dem USB-Empfänger – ausgeliefert hat. Die Funktechnik steckt auch in zahlreichen aktuellen Modellen, vom preiswerten Tastatur-Maus-Set MK540 bis hin zur hochpreisigen High-End-Maus MX Master 2S.
Entdeckt hat die aktuellen Lücken der Security-Experte Marcus Mengs, der c’t fortlaufend über seine Ergebnisse informiert hat. „Der Zugriff auf den Empfänger dauert nur wenige Sekunden und dürfte in einem belebten Büro kaum auffallen", merkt Eikenberg an. Durch eine weitere Lücke gelingt der Angriff sogar ohne den Zugriff auf den USB-Empfänger. Diese Lücke ist bereits seit drei Jahren unter dem Namen „MouseJack“ bekannt und wurde von Logitech kurz darauf durch ein Firmware-Update behoben. Allerdings, so die Erkenntnisse der c’t-Redaktion, ist dieses Sicherheits-Update mutmaßlich längst nicht bei allen Kunden angekommen. Auch auf seiner Website informierte Logitech nur unzureichend über die bekannten Sicherheitslücken und das wichtige Firmware-Update.
Gegenüber c’t bestätigte Logitech die neuen und alten Schwachstellen und versprach eine bessere Kommunikation. Zwei der neu entdeckten Lücken will das Unternehmen im August durch ein Firmware-Update beseitigen, zwei andere sollen jedoch nicht geschlossen werden, weil die Geräte dann nicht mehr untereinander kompatibel wären.
c’t-Experte Eikenberg rät Logitech-Kunden, beim Verlassen des Rechners den USB-Funkempfänger abzuziehen und mitzunehmen. Insbesondere wenn man mit personenbezogenen oder gar geheimen Daten hantiert. „Was jetzt jeder Nutzer tun sollte, ist, die aktuelle Firmware zu installieren. Das reicht aber noch nicht, es muss voraussichtlich im August wiederholt werden. Und wem das aufgrund der verbleibenden Lücken zu unsicher ist, der steigt wieder auf verkabelte Geräte um – auch wenn das weniger Komfort bedeutet.“
Die Computerzeitschrift c’t steht seit 1983 für eine anspruchsvolle, redaktionell unabhängige und fachlich fundierte Berichterstattung. Als meistabonnierte Computerzeitschrift Europas greift c’t im vierzehntäglichen Rhythmus vielfältige Themen auf – praxisnah und stets auf Augenhöhe mit den Lesern.
Mit herstellerunabhängigen und plattformübergreifenden Produkttests, Praxis-Berichten, Hintergrundinformationen und Grundlagenartikeln legt das 78-köpfige Team um Chefredakteur Dr. Jürgen Rink die Basis für vielfältige Kaufentscheidungen im privaten und professionellen Umfeld. Das Themenspektrum bewegt sich zwischen Mobile Computing, IT-Sicherheit, Social Media, Internet-Technologien, Software-und App-Entwicklung, Internet of Things, Wearable User Interfaces, IT-Netze, Betriebssysteme, Hardware-Technologien, bis hin zu IT im Unternehmen, IT-Markt, Ausbildung & Beruf.
Mehrmals im Jahr gibt c’t Sonderpublikationen zu bestimmten Themen heraus. In der Reihe c’t Wissen sind z. B. Ausgaben zu den Themen Bloggen, Virtual Reality und Windows erschienen. Die ebenfalls mehrmals jährlich erscheinenden Hefte der Reihe c’t Special bündeln mit Tests, Praxisartikeln und Reportagen relevante Inhalte zu einem Thema.
Heise Gruppe GmbH & Co KG
Karl-Wiechert-Allee 10
30625 Hannover
Telefon: +49 (511) 5352-0
Telefax: +49 (511) 5352-129
http://www.heise-gruppe.de
Presse- und Öffentlichkeitsarbeit
Telefon: +49 (511) 5352-290
E-Mail: sy@heise.de