Das Austauschprogramm für die verwundbaren USB-Empfänger der Logitech Presenter läuft offenbar noch nicht rund, wie aus Mails unserer Leser hervorgeht. Ein Mitarbeiter einer größeren Stadtverwaltung klagt etwa, dass er seit Monaten auf die Lieferung abgesicherter Empfänger wartet und die Kommunikation mit dem Logitech-Support sehr zäh sei.

Demnach habe er die fünf verwundbaren Presenter des Typs R400 umgehend nach Bekanntwerden der Anfälligkeiten außer Betrieb genommen und sich mit Logitech in Verbindung gesetzt, um den Austausch der verwundbaren Empfänger anzustoßen. Er berichtet, dass die Antworten des Supports mehrere Wochen auf sich warten lassen und sich zum Teil wiederholt haben – so sei er etwa erneut nach der Lieferadresse gefragt worden, obwohl er diese bereits in der Mail zuvor mitgeteilt habe. Seit Oktober herrsche gar Funkstille.

Jeder Vierte wartet noch

Auf Nachfrage von heise Security erklärte Logitech: "Bisher haben wir bereits 73 Prozent der Tauschanträge erfüllt und unsere Kundendienstteams konzentrieren sich darauf, die offenen Anfragen schnell zu beantworten." Im Umkehrschluss bedeutet dies, dass aktuell noch jeder vierte Kunde, der einen Ersatzempfänger bestellt hat, auf die Lieferung wartet.

Laut Logitech werden die neuen USB-Empfänger für die Wireless Presenter R400, R700 und R800 seit Anfang September ausgeliefert und sind derzeit im Lager verfügbar. Für die betroffenen Kunden besteht also Hoffnung, dass sie ihre abgesicherten Empfänger in naher Zukunft erhalten, sobald der Support mit der Bearbeitung hinterherkommt. In der Stadtverwaltung wurden derweil zwei Geräte eines anderen Herstellers angeschafft und es steht im Raum, Logitech komplett den Rücken zu kehren.

Schwachstelle seit drei Jahren bekannt

Das Innenleben des verwundbaren USB.Empfängers. (Bild: SySS)

Über die Sicherheitslücke in den Logitech Presentern hatte c't erstmals im April berichtet, bekannt sind diese jedoch seit mehr als drei Jahren. Das Austauschprogramm der verwundbaren USB-Empfänger hatte Logitech erst ins Leben gerufen, nachdem das Problem durch die c't-Berichterstattung einem größeren Publikum bekannt wurde.

Durch die Lücke können Angreifer einen Rechner aus der Distanz übernehmen: Die USB-Empfänger akzeptieren nämlich nicht nur die Steuerbefehle der Presenter (Bild auf, Bild ab), sondern auch beliebige andere Tastatureingaben. Ein Angreifer kann das System daher umfassend fernsteuern über Tastaturbefehle etwa einen Trojaner herunterladen und ausführen. Die dafür nötige Funkhardware kostet nur ein paar Euro, die passende Software gibts gratis im Netz.

Auch Unifying-Geräte anfällig

Auch in der Funktechnik Unifying, die in fast allen kabellosen Eingabegeräten von Logitech steckt, klaffen bekannte Sicherheitslücken. Diese will der Hersteller auch in Zukunft nicht schließen, da ansonsten die Kompatibilität zu älteren Unifying-Eingabegeräten nicht länger gewährleistet werden könne. Eines der Sicherheitsprobleme versuchte Logitech durch ein Firmware-Update zu lösen. Kurz darauf wurde jedoch bekannt, dass der Angriff dadurch nur um einige Sekunden hinausgezögert wurde – nach einem Firmware-Downgrade lässt sich die Lücke wieder ausnutzen. (rei)