El investigador de seguridad Tavis Ormandy, de Project Zero de Google, ha descubierto una ‘vulnerabilidad de autenticación’ en Logitech Options, la aplicación de Logitech que permite configurar ratones y teclados. En concreto, el error de seguridad permite a los hackers utilizar sitios web maliciosos para inyectar malware en los ordenadores de las víctimas.

En su informe, Ormandy afirmó que encontró el error en la aplicación cuando intentaba reenlazar un botón de su ratón Logitech. Los primeros detalles sobre la vulnerabilidad críticas fueron publicados en septiembre pasado, cuando el investigador se reunió con los expertos en informática de Logitech. En este sentido, Ormandy afirmó:

“Me aseguraron que comprendían los problemas y planeaban agregar verificaciones de origen y verificación de tipos”.

Sin embargo, todo indica que los desarrolladores de Logitech no han dado una solución a la vulnerabilidad. Así lo explica Ormandy, quien probó la versión más reciente de la aplicación, lanzada el pasado 1 de octubre, sin encontrar cambios con respecto al error.

En su publicación, Ormandy asegura que intentó configurar nuevamente el botón de su ratón Logitech y se dio cuenta de que, para lograrlo, debía descargar la app Logitech Options de 149 megabytes. El software utilizado por esta aplicación es Electron, un proyecto de código abierto que ha sido el centro de vulnerabilidades críticas anteriormente.

Al analizar Logitech Options, Ormandy abrió WebSocket, un servidor web cuya función es recibir mensajes JSON. El primer error de seguridad encontrado por el investigador es la capacidad de la app para bloquear dicho servidor al momento de enviar mensajes JSON con datos errados.

Más allá de esto, Ormandy encontró otra forma de comprometer el software. El servidor WebSocket permite establecer conexiones desde cualquier sitio web, no sin antes verificar el origen de dicho sitio para comprobar que solo las páginas autorizadas establezcan la conexión. En este sentido, el investigador afirmó que Logitech Options no completa la autenticación de las conexiones de forma correcta.

La actualización de Logitech Options con la corrección del error todavía no está disponible. Un vocero de la empresa dijo que está revisando el informe a nivel interno para emitir un comunicado próximamente. En el caso del Project Zero, Google normalmente otorga 90 días a las compañías para corregir las vulnerabilidades antes de divulgarlas, por lo que ha decidido presentar su informe de rastreo de errores para Logitech el día de hoy.