羅技最近發布了對其應用程式應用的匆忙更新。該公司沒有明確透露錯誤修復的內容,但谷歌Project Zero的一位研究人員已經披露了此事。據稱,他發現並向官員報告了Logitech Options應用程式漏洞,可能會觸發擊鍵注入。然而,由於供應商沒有做任何事情,他最終公開披露了這一漏洞。
Logitech Options App漏洞觸發黑客攻擊
據報導,谷歌Project Zero團隊的一名研究人員指出了羅技應用程式中名為「選項」的安全漏洞。該漏洞可能允許攻擊者利用 目標設備上的擊鍵注入攻擊。選項是羅技的專用應用程式,可在公司的滑鼠,觸摸板和鍵盤中提供自定義選項。
研究人員Tavis Ormandy在一份單獨的錯誤報告中分享了他的研究結果的細節。他說,描述Logitech Options應用程式漏洞,
「那個程序......產生了多個子過程,似乎是一個電子應用程式。它還在埠10134上打開一個websocket伺服器,任何網站都可以連接到它,並且根本沒有原始檢查...試圖弄清楚這個websocket伺服器做了什麼,很明顯它需要JSON消息,並且沒有類型檢查屬性,所以它像瘋了一樣崩潰。「
在注意到這個問題後,他決定發現強制用戶身份驗證PID的粗暴程度。一旦攻擊者猜到PID,就會更容易執行命令並配置「皇冠」來發送任意擊鍵。這些擊鍵攻擊最終可能讓攻擊者完全控制目標系統。
羅技急於發布更新 - 但是,它是否修補了這個漏洞?
從他在2018年9月12日發布的錯誤報告中可以看出,研究人員在9月發現了這個缺陷。他還在報告中提到他告訴羅技這個漏洞。據稱,他甚至在2018年9月18日遇見了羅技的工程師,他向他保證他們會解決這個問題。
然而,在目睹供應商沒有採取重大行動之後,Ormandy公開披露了這一消息。正如他所說,
「現在已經過了截止日期,所以公之於眾。」在他的報告於2018年12月11日在線發布後,羅技於2018年12月13日急於發布更新7.00.564。但是,目前尚不清楚此更新是否修復了此處提及的漏洞。雖然羅技在推文中表示,更新解決了這個漏洞。
儘管如此,用戶在響應Ormandy的報告時提到他仍然可以重現錯誤。