Logitech admite falha de segurança em receptor USB e promete correção

Vulnerabilidade afeta receptores Unifying para teclado e mouse; Logitech deve liberar correções em agosto

Emerson Alecrim
Por
• Atualizado há 2 anos
Logitech Unifying

Ninguém espera que um diminuto dongle USB para mouse e teclado sem fio possa representar um problema de segurança, mas essa é a realidade da Logitech: a companhia reconheceu que o receptor Unifying que acompanha vários de seus produtos tem vulnerabilidades que podem permitir que o computador seja invadido.

O Unifying é um receptor USB minúsculo que a companhia apresentou em 2009 e, desde então, vem sendo distribuído junto a vários dispositivos sem fio — se não todos, a maioria dos teclados e mouses atuais da Logitech é compatível com o acessório.

Além de muito compacto, o Unifying tem a vantagem de suportar a conexão de até seis dispositivos sem fio simultaneamente na frequência de 2,4 GHz e que estejam a uma distância de até 10 m.

Mas, de acordo com o especialista em segurança Marcus Mengs, o Unifying também pode ser explorado para injetar código malicioso no computador da vítima ou capturar dados da máquina, como informações recém-digitadas.

O problema só não é considerado mais grave porque o invasor precisar estar perto do computador para conseguir acessá-lo a partir do Unifying. Mesmo assim, as vulnerabilidades merecem atenção, pois podem representar um risco para usuários que estão visitando um cliente ou usando o computador em um espaço público, por exemplo.

No Twitter, Mengs fez duas demonstrações do problema. Em uma delas, ele consegue explorar a conexão do Unifying usando um segundo computador com um sniffer USB de US$ 10.

Só é possível fazer isso durante o breve período de tempo que o dongle leva para emparelhar os dispositivos conectados a ele, mas o procedimento funciona. Prova disso é que as informações digitadas no primeiro notebook aparecem no segundo:

Na segunda demonstração, Marcus Mengs remove um dongle da linha Spolight (controle remoto para apresentações) do computador a ser atacado e o insere em outro. Quando o receptor é reinserido no primeiro notebook, Mengs consegue enviar código malicioso a ele:

Ao The Verge, a Logitech reconheceu o problema. Qualquer dispositivo baseado na tecnologia do Unifying pode estar vulnerável, incluindo receptores de linhas como Spolight (como já ficou claro) e Lightspeed (linha gamer).

A companhia prometeu liberar updates de firmware para corrigir essas falhas, mas elas só serão disponibilizadas em agosto. Por ora, pode valer a pena instalar as atualizações para uma falha similar que ficou conhecida como MouseJack: descoberta em 2016, ela afetou dongles USB da Logitech e outras companhias.

Receba mais notícias do Tecnoblog na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.

Relacionados