Dazu benötigt man lediglich die LogiTracker-Firmware und einen USB-Funkstick mit dem Chip nRF52840 von Nordic Semiconductor. Geeignet wäre z.B. der USB Dongle 52840 von April Brother für nicht einmal 10 Euro (siehe Bild).

Der Nordic-Chip läuft autark (wie ein Arduino) und benötigt lediglich Strom aus einer USB-Buchse. Logi-Tracker kann optional alle Unifying-Geräte in Reichweite automatisch angreifen und versuchen Befehle einzuschleusen. Gesteuert und konfiguriert wird der Stick über eine virtuelle COM-Schnittstelle per Terminal Client. Dazu benötigt man nicht einmal ein Notebook, ein Raspberry Pi oder ein Smartphone reichen da schon aus. Der Aufwand hält sich somit wirklich in Grenzen und der Angriff ist mit wenig technischem Wissen ohne weiteres durchführbar.

Die aktuelle Logitech-Firmware schliesst nur einige der bekannten Sicherheits-Lücken. Logitech will im August mit einem Update weitere Schwachstellen beseitigen, allerdings nicht alle, weil sonst die Kompatibilität der Unifying-Geräte untereinander nicht mehr gewährleistet sei (so lässt Logitech verlauten).

Das Firmware-Update installiert sich allerdings nicht von selbst. Windows- und macOS-Anwender benötigen das Firmware-Update-Tool "SecureDFU". Linux-Anwender können den herstellerübergreifenden Firmware-Updater "fwupdmgr" nutzen.

In Anbetracht dieser eklatanten Sicherheitslücken muss man im Einzelfall entscheiden, ob die Eingabegeräte noch den eigenen Sicherheitsanforderungen genügen, vor allem im Hinblick darauf, dass nicht alle Schwachstellen geschlossen werden können. Im Zweifel ist eine verkabelte Tastatur und Maus die bessere Wahl!

UPDATE 30.08.2019:

Die Schweizer Firma "Logitech" hat nun ein Update veröffentlicht, welches zumindest das direkte Auslesen des zur Verschlüsselung der Funkverbindung genutzen Krypto-Schlüssels beseitigt (Schwachstelle mit der Bezeichnung CVE-2019-13055).

Um das Update zu installieren, benötigt man das neue Firmware-Update-Tool (Version 1.2.169). Eine automatische Aktualisierung ist nicht möglich.

Grund zum Aufatmen ist das aber leider nicht, denn die oben beschriebene Sicherheitslücke in der Funktechnik klafft weiterhin in den Produkten. Diese wird der Hersteller nach heutigem Stand auch nicht schliessen, da ansonsten die Kompatibilität der Unifying-Geräte untereinander nicht mehr gewährleistet wäre.

Um sich vor diesem Angriff zu schützen, muss unbedingt sichergestellt sein, dass keine unbefugten Personen Zugriff auf die Hardware haben, d.h. in einem Büro sollte deshalb die Logitech-Hardware bei Nichtgebrauch (Mittagspause, Feierabend, Verlassen des Büros) weggeschlossen werden (Unifying-Receiver abziehen), um kein erzwungenes Pairing durch Unbefugte zu ermöglichen, die dann die obige Vorgehensweise für einen Angriff ebnet.

In Privathaushalten ist die Wahrscheinlichkeit eines Angriffs eher gering. Dennoch muss man wie oben erwähnt im Einzelfall abwägen, ob nicht eine verkabelte Maus und Tastatur die bessere Wahl sind.