Vulnerabilidade na aplicação da Logitech permitiu um ataque de injeção keystroke e mouse hijack.

A Logitech lançou um remendo para uma das suas aplicações depois de ignorar um relatório de vulnerabilidades reportado há três meses pela equipa de segurança do Google Project Zero.

A vulnerabilidade foi encontrada em versões do Options, uma app da Logitech que permite aos utilizadores personalizar botões e o comportamento dos seus dispositivos, ratos, teclados e touchpads.

Em setembro, o investigadore do Google, Tavis Ormandy, descobriu que a app estava a abrir um servidor WebSocket nos computadores dos utilizadores.

O problema era que esse servidor tinha suporte para vários comandos intrusivos, usava uma chave de registo para iniciar automaticamente em cada inicialização do sistema e vinha com um sistema de autenticação desatualizado.

 

“The only ‘authentication’ is that you have to provide a PID [process ID] of a process owned by your user,” said Ormandy in a bug report, “but you get unlimited guesses so you can bruteforce it in microseconds.”

“After that, you can send commands and options, configure the ‘crown’ to send arbitrary keystrokes, etc, etc.,” the expert said.

 

Ormandy comunicou o problema à Logitech em meados de setembro. No entanto, a equipa da Logitech reconheceu o relatório da vulnerabilidade mas nunca emitiu qualquer patch corretivo.

“I […] had a meeting with Logitech engineers on the 18th September, they assured me they understood the issues and were planning to add Origin checks and type checking,” Ormandy said. “There was a new release on October 1st, but as far as I can tell they did not resolve any of the issues.”

 

Uma vez que depois de 90 dias a empresa não conseguiu resolver o problema comunicado em particular, Ormandy revelou suas descobertas na terça-feira.

Depois de o relatório ter ganho alguma tração e atenção entre a comunicade de segurança no Twitter na noite passada, a Logitech apressou-se em corrigir e libertar a release Options 7.00.564 como meio para resolver a falha.