App da Logitech tinha falha de segurança que permitia ataques

Uma falha de segurança no app “Options”, da Logitech, foi corrigida por atualização lançada recentemente pela empresa após esta ignorar alertas emitidos pelo “Project Zero” da Google desde setembro. Diante da atitude da empresa, os pesquisadores que descobriram a falha divulgaram o problema na mídia, forçando a Logitech a lançar uma correção.

O app “Options” tem a função de personalizar o comportamento de botões nos mouses, teclados, trackpads e outros acessórios da Logitech. Em setembro, o pesquisador de segurança da Google, Tavis Ormandy, descobriu que o app abria um servidor websocket na máquina do usuário, sendo tal servidor aberto à tentativas de intrusão via keystroke injection, um tipo de ataque em que hackers tomam o controle de um computador remotamente.

O problema estava na autenticação do servidor: iniciado cada vez que o computador era ligado, segundo Ormandy, tudo o que ele exigia era um número PID (Process ID, ou “ID de Processo”). “O problema é que você tem infinitas tentativas de adivinhar esse número, então hackers podem forçar a entrada por ele”.

Ormandy levou o problema à Logitech, que reconheceu a falha de segurança e prometeu uma atualização de correção. Isso foi na metade do mês de setembro. Contudo, a empresa não lançou nenhum patch e, após os costumeiros 90 dias do relato do problema, o pesquisador veio a público com as informações obtidas. Somente então a Logitech fechou essa entrada, quando viu que os relatos estavam ganhando tração em comunidades de pesquisadores.

A versão 7.00.564 do app “Options” já está disponível para download, segundo tweet da empresa.

Fonte: ZDNet