Logitech ilovasidagi zaiflik masofadan turib tugmalarni bosish imkonini berdi.

Logitech dastlab muammo haqidagi xabarni e’tiborsiz qoldirdi va ma’lumot ommaga e’lon qilinganidan keyingina yangi tuzatish kiritdi.

Google Project Zero tadqiqotchisi Tavis Ormandy Logitech dasturida foydalanuvchi kompyuterida masofadan turib tugmalarni bosish imkonini beruvchi zaiflikni aniqladi (klaviaturani bosish hujumi deb ataladi). Zaiflik foydalanuvchilarga klaviatura, sichqoncha va sensorli panelning tugmalari va xatti-harakatlarini sozlash imkonini beruvchi Options dasturida edi. Ormandy dastur kompyuterda WebSocket serverini ochganini aniqladi. Muammo shundaki, server bir qator intruziv buyruqlarni qo’llab-quvvatlagan, har bir tizim yuklanishida avtomatik ravishda ishga tushirish uchun registr kalitidan foydalangan va xavfsiz bo’lmagan autentifikatsiya tizimidan foydalangan.

Faqatgina «autentifikatsiya» foydalanuvchi tomonidan ishga tushirilgan jarayonning PID (jarayon identifikatori) ni taqdim etish edi. Biroq, urinishlar sonida cheklov yo’q edi, shuning uchun qo’pol hujum atigi bir necha soniya davom etdi. Mutaxassisning tushuntirishicha, hujumchi tugmachalarni bosishni ishga tushiradigan turli buyruqlarni yuborishi mumkin edi.

Ormandy bu zaiflikni shu yilning sentyabr oyi o’rtalarida aniqladi va shu bilan birga ishlab chiqaruvchiga muammo haqida xabar berdi. Biroq, Logitech Options 7.00.564 ning yamalgan versiyasini atigi uch oy o’tgach, tadqiqotchi ma’lumotni ommaga e’lon qilganidan deyarli darhol chiqardi.