Das Arbeiten mit kabellosen Tastaturen und Mäusen ist komfortabel und weit verbreitet. Die eingesetzte Funktechnik ist oft aber alles andere als sicher - das zeigen aktuell Sicherheitslücken, die in den Funktastaturen und -Mäusen von Logitech entdeckt wurden. Ein Angreifer kann durch die Lücken nicht nur Tastatureingaben abhören, sondern sogar den Rechner infizieren.
„In vielen drahtlosen Eingabegeräten klaffen gefährliche Sicherheitslücken, durch die ein Angreifer Tastatureingaben mitlesen kann. Eingetippte Mails, Facebook-Nachrichten und sogar Passwörter landen so in fremden Händen, ohne dass man davon etwas mitbekommt. Durch verwundbare USB-Funkempfänger können Cyber-Kriminelle außerdem auf den Rechner zugreifen, Schadsoftware installieren und Daten abgreifen“, erklärt Ronald Eikenberg, Sicherheitsexperte von der Fachzeitschrift c’t.
Millionen Kunden betroffen
Die Sicherheitslücken klaffen in der Unifying-Funktechnik, die der Schweizer Hersteller Logitech bei vielen seiner drahtlosen Tastaturen und Mäuse einsetzt. Powerpoint-Steuerungen des Unternehmens sind genauso angreifbar wie Gaming-Produkte der Lightspeed-Serie. Die Zahl der betroffenen Kunden dürfte in die Millionen gehen, da Logitech seit 2009 etliche Geräte mit Unifying-Funk - erkennbar am orangefarbenen Unifying-Logo mit Stern auf dem USB-Empfänger - ausgeliefert hat. Die Funktechnik steckt auch in zahlreichen aktuellen Modellen, vom preiswerten Tastatur-Maus-Set MK540 bis hin zur hochpreisigen High-End-Maus MX Master 2S.
Entdeckt hat die aktuellen Lücken der Security-Experte Marcus Mengs, der c‘t fortlaufend über seine Ergebnisse informierte. „Der Zugriff auf den Empfänger dauert nur wenige Sekunden und dürfte in einem belebten Büro kaum auffallen“, merkt Eikenberg an. Durch eine weitere Lücke gelingt der Angriff sogar ohne den Zugriff auf den USB-Empfänger. Diese Lücke ist bereits seit drei Jahren unter dem Namen „MouseJack“ bekannt und wurde von Logitech kurz darauf durch ein Firmware-Update behoben.
Zwei Lücken bleiben offen
Allerdings, so die Erkenntnisse der Experten, ist dieses Sicherheits-Update mutmaßlich längst nicht bei allen Kunden angekommen. Auch auf seiner Website informierte Logitech nur unzureichend über die bekannten Sicherheitslücken und das wichtige Firmware-Update. Gegenüber c‘t bestätigte der Hersteller die neuen und alten Schwachstellen und versprach eine bessere Kommunikation. Zwei der neu entdeckten Lücken will das Unternehmen im August durch ein Firmware-Update beseitigen, zwei andere sollen jedoch nicht geschlossen werden, weil die Geräte dann nicht mehr untereinander kompatibel wären.
Nur Kabel wirklich sicher
Eikenberg rät Logitech-Kunden, beim Verlassen des Rechners den USB-Funkempfänger abzuziehen und mitzunehmen. Insbesondere wenn man mit personenbezogenen oder gar geheimen Daten hantiert. „Was jetzt jeder Nutzer tun sollte, ist, die aktuelle Firmware zu installieren. Das reicht aber noch nicht, es muss voraussichtlich im August wiederholt werden. Und wem das aufgrund der verbleibenden Lücken zu unsicher ist, der steigt wieder auf verkabelte Geräte um - auch wenn das weniger Komfort bedeutet.“
Kommentare
Da dieser Artikel älter als 18 Monate ist, ist zum jetzigen Zeitpunkt kein Kommentieren mehr möglich.
Wir laden Sie ein, bei einer aktuelleren themenrelevanten Story mitzudiskutieren: Themenübersicht.
Bei Fragen können Sie sich gern an das Community-Team per Mail an forum@krone.at wenden.