Los poseedores de periféricos inalámbricos de Logitech recibieron hace unos días una noticia un tanto preocupante: estos dispositivos podrían ser vulnerables a ciberataques y podrían suponer un riesgo para la privacidad de los usuarios.

Hace unos años, un grupo de hackers descubrió que podían controlar de manera remota un PC (un hack llamado "MouseJack"), aprovechándose de una vulnerabilidad que tienen los receptores USB inalámbricos de Logitech.

A principios de esta semana, el investigador de seguridad Marcus Mengs reveló que los dispositivos inalámbricos de Logitech con receptores Unifying (la tecnología de radio de la compañía) todavía son vulnerables a una serie de hacks recientemente descubiertos.

En Genbeta

Con esta aplicación para Windows, Linux o macOS puedes descargar vídeos de YouTube fácilmente y en lote

Hemos contactado con Logitech, y nos confirman que están al tanto de estas vulnerabilidades. Además, declaran que están en comunicación con Marcus Mengs para "trabajar en sus hallazgos":

"Desde que Marcus Mengs nos contactó respecto a nuestro receptor Unifying, hemos estado en comunicación con él para trabajar en sus hallazgos.

El Sr Mengs identificó las vulnerabilidades en un entorno controlado. Las vulnerabilidades son muy complejas de replicar y requieren de proximidad física al dispositivo para intentar acceder a él. Es, por tanto, un procedimiento de ataque altamente complicado y difícil de suceder".

Unifying, la tecnología de radio de Logitech, parece ser la fuente del problema. Este estándar inalámbrico permite el funcionamiento de varios dispositivos de entrada con un sólo receptor USB. Desde Logitech, aseguran que es importante aplicar medidas de seguridad "sencillas y de sentido común":

"Los usuarios pueden seguir utilizando sus ratones y teclados Logitech con tecnología Unifying aplicando medidas de seguridad sencillas y de sentido común, como mantener el ordenador a salvo de intervenciones ajenas".

Para identificar los dispositivos que cuentan con esta tecnología, simplemente tenemos que buscar una pequeña estrella de color negro dibujada den un cuadrado de color naranja con bordes redondeados.

La compañía nos confirma que "están trabajando activamente en una solución a una de las tres vulnerabilidades detectadas (la extracción de clave de encriptado a través de USB) que esperamos tener disponible para descarga a partir de agosto de 2019".

Sobre las otras dos vulnerabilidades, aseguran que consideran "muy bajas las probabilidades de que se lleven a cabo los ataques":

"Cualquier solución para las otras dos vulnerabilidades tendría un impacto negativo en la interoperabilidad de los dispositivos, una característica clave de la tecnología Unifying. Consideramos muy bajas las probabilidades de que se lleven a cabo estos ataques, ya que solo se pueden dar durante una re-instalación del dispositivo al receptor Unifying o mediante manipulación directa del teclado y texto del ordenador. Por esta razón, descartamos hacer modificaciones en los productos actuales, aunque sí compartimos maneras efectivas de protegerse frente a estas vulnerabilidades".

Toca actualizar

Aunque siempre es recomendable instalar la última versión de software para estar protegido contra posibles ataques, en esta ocasión es prácticamente una obligación. Logitech recomienda visitar este artículo donde se irán publicando novedades sobre futuras actualizaciones.

Si eres usuario de un dispositivo inalámbrico de Logitech con Unifying, visita la página de soporte de Logitech para encontrar más información y descargar los siguientes parches:

• Windows
• macOS
• Logitech G900 (Windows)

Después de instalar los parches (siguiendo las instrucciones que indica el instalador) debemos estar atentos a futuras actualizaciones. De momento ya sabemos que en el mes de agosto se acerca otro parche importante.

Numerosos periféricos inalámbricos de Logitech son vulnerables a ciberataques y pueden suponer un riesgo para la privacidad y seguridad de los usuarios. Eso es lo que asegura el experto en seguridad Marcus Mengs a la revista alemana especializada en informática c't.

Según cuenta la publicación, este especialista ha analizado durante "bastante tiempo" las conexiones inalámbricas de varios dispositivos de esta compañía y ha encontrado "numerosos puntos débiles" confirmados por Art O'Gnimh, el jefe global de la división de teclados y ratones de Logitech.

Los problemas afectarían tanto a teclados como a ratones, así como también a presentadores de diapositivas. Las vulnerabilidades presentes, de acuerdo con sus averiguaciones publicadas, permitirían a un atacante espiar pulsaciones de teclas e incluso enviar comandos al equipo de una victima pudiéndolo infectar con código malicioso, incluso aunque el ordenador no estuviese conectado a una red.

La tecnología Logitech Unifying es la afectada

MiNe (CC BY 2.0)

Las vulnerabilidades detectadas afectarían a la tecnología de radio de Logitech bautizada como Unifying y, por ende, a cualquier dispositivo que la emplee. Logitech habría estado enviando los receptores USB con Unifying junto con teclados y ratones inalámbricos desde 2009. Estos receptores son fácilmente identificables porque llevan impreso la imagen de esta tecnología: un cuadrado de color naranja con bordes redondeados y una especie de estrella en su interior.

También serían vulnerables otro tipo de dispositivos inalámbricos de la serie Lightspeed, Wireless Presenters R500 y Spotlight. La razón es que utilizan una tecnología de radio relacionada con Logitech Unifying.

Logitech va a resolver algunos de los problemas de seguridad reportados por Mengs, aunque siempre según lo publicado por c't, otros no los va a abordar. Si lo hace, aseguran, la compatibilidad entre los productos Unifying no se podría mantener. Uno de estos problemas aprovecharía la vulnerabilidad CVE-2019-13053 por la cual un atacante podría inyectar cualquier entrada de teclado en el tráfico de radio cifrado de los teclados Unifying sin saber la clave de cifrado utilizada.

Otra de las vulenrabilidades que no se abordará es la CVE-2019-13052, que permitiría a un atacante descifrar la comunicación cifrada entre dispositivos si ha registrado previamente el proceso de emparejamiento. Por esa razón, Logitech advierte que el emparejamiento entre receptor y dispositivo solo debe realizarse "cuando se garantiza que no se produzcan actividades sospechosas dentro de un radio de 10 metros".

Sí se resolverán vulnerabilidades como la CVE-2019-13055 y la CVE-2019-13054, que contemplan la extracción de la clave criptográfica utilizada para cifrar el enlace de radio del receptor Unifying. En cualquier caso, la recomendación para los usuarios potencialmente afectados es actualizar sus dispositivos a la última versión de firmware disponible y estar atentos a posibles actualizaciones.

Desde Genbeta nos hemos puesto en contacto con Logitech para recabar detalles adicionales sobre estas informaciones publicadas.

Aquellos que no pueden vivir sin tener su música en cualquier lugar de su casa, sin atronar a los vecinos, habrán tenido que idear diferentes soluciones. Para conectarse desde una red local, y tener radio a través de internet o acceso a nuestra libería musical Logitech se sacó de la chistera sus reproductores Squeezebox.

Ayer anunciaba Spotify en su blog oficial que su aplicación para Squeezebox pronto estaría disponible para los usuarios premium (ahora lo está como beta). Siguen en su camino, en la búsqueda de esa ansiada rentabilidad, y parece que es en los dispositivos móviles donde están encontrando ese gran filón que necesitaban. Si ahora teníamos la biblioteca de Spotify en nuestro móviles, ahora también la podremos tener en cualquier habitación de la casa.

Está clara la dirección que está tomando la compañía sueca, pero viendo que el desembolso a un par de años vista (reproductores WiFi y suscripción premium mensual) es elevado, uno puede pensar en alternativas como instalar un hilo musical…

Vía | Blog de Spotify | Blog de Logitech
En Genbeta | Crea tu propio servidor de música con VortexBox

Aunque para la gran mayoría de nosotros el realizar videoconferencias a través de Internet no representa ningún problema, existiendo múltiples opciones y clientes entre los que escoger, desde MSN Messenger hasta Skype, Logitech cree que este sigue siendo un proceso demasiado complicado.

Para solucionarlo han presentado Logitech Vid, un cliente que nos permitirá realizar videoconferencias con nuestros contactos de forma sencilla. Una vez instalado solo tenemos que indicar su dirección de correo para añadirlo como contacto. Si el usuario está registrado con Logitech Vid lo tendremos accesible y, si no lo está, recibirá un correo con una invitación.

La idea es que los usuarios más avanzados sean los que puedan invitar a los menos avezados, de forma que estos solo tengan que recibir el correo y abrir la invitación (una vez instalada la webcam, evidentemente). Lo denota también el modelo de distribución de la aplicación.

Logitech Vid es gratuito para todos los usuarios que dispongan de una cámara de este fabricante, además de para aquellos que no dispongan de una pero sean invitados por alguien que sí la tenga. En caso contrario, se podrá usar la aplicación solo durante 30 días.

La aplicación está disponible tanto para Windows como para Mac OS X.

Más información | Logitech.