Sennheiser Software Flaw оставляет пользователей открытыми для взлома

Sennheiser Software Flaw оставляет пользователей открытыми для взлома

Вы не ожидали, что программное обеспечение для ваших наушников серьезно ухудшит безопасность вашего компьютера, но это именно то, что удалось сделать Sennheiser. Настольное приложение для своих гарнитур, называемое HeadSetup и HeadSetup Pro, включало поврежденный корневой сертификат, позволяющий всем знать об этом недостатке, чтобы олицетворять веб-сайты без обнаружения. Sennheiser выпустил патч для программного обеспечения, но он, похоже, не понимает серьезность зависания.

Программное обеспечение, которое работает как на компьютерах Windows, так и на Apple, предназначено для того, чтобы помочь владельцам гарнитур и громкоговорителей компании подключаться и использовать их устройства. Он делает это, но также включает в себя корневой сертификат с открытым закрытым ключом. После установки система будет доверять веб-сайту с соответствующим сертификатом, потому что Sennheiser сохранил сертификат в хранилище сертификатов операционной системы.

С установленным сертификатом для злоумышленника тривиально легко создать фишинг-сайт, который выглядит как реальная сделка. До тех пор, пока он использует закрытый ключ от программы Sennheiser, ваш браузер будет сообщать о законном веб-сайте с HTTPS. Единственный способ сказать что-то не так, это проверить код сертификата HTTPS, но практически никто этого не делает. В лучшем случае люди ищут замок в адресной строке, что в данном случае ничего не значит. Исследовательская фирма Secorvo, которая обнаружила недостаток, доказала свою точку зрения, создав поддельный веб-сайт Google, который выглядит законным для взломанной системы.

Пример поддельного Google Secorvo.
Пример поддельного Google Secorvo.

Возможно, худший аспект ошибки Sennheiser заключается в том, что удаление HeadSetup не устранит уязвимость. Даже после очистки всего программного обеспечения сертификат остается на месте и действителен. Компания выпустила патч, который заменяет этот сертификат тем, который не теряет свой закрытый ключ, но нет способа заставить людей обновиться или даже убедиться, что они знают, что есть проблема.

Недостаток был сопоставлен с ошибкой Superfish от Lenovo, которая повлияла на ПК еще в 2015 году. Superfish - это схематичная рекламная программа, поставляемая на ПК Lenovo, и, как и Sennheiser HeadSetup, в ней содержится ошибочный корневой сертификат, который позволяет третьим сторонам подделывать сайты. Это было возможно хуже, потому что ошибка была предварительно загружена на новые ПК. Уязвимость Sennheiser будет меньше, но риск для тех, у кого есть искаженное программное обеспечение, очень то же.

Lenovo в конечном итоге была оштрафована на 3,5 миллиона долларов FTC за Superfish. Sennheiser, возможно, захочет начать откладывать некоторые деньги.

Читать далее

Cerebras представляет 2-й PEAL Wafl Engine Engine: 850 000 ядер, 2,6 триллионов транзисторов
Cerebras представляет 2-й PEAL Wafl Engine Engine: 850 000 ядер, 2,6 триллионов транзисторов

Геребр представил свой вафливый двигатель второго поколения или WSE-2. Новая вафля травляется с использованием 7-нм литографии, с 850 000 сердечников, 2,6 триллионов транзисторов и 40 ГБ на борту срама.

Samsung вставляет процессор AI 1,2TFLOP в HBM2 для повышения эффективности и скорости
Samsung вставляет процессор AI 1,2TFLOP в HBM2 для повышения эффективности и скорости

Samsung разработала новый тип процессора в памяти, построенный на базе HBM2. Это новое достижение для разгрузки ИИ, которое может повысить производительность до 2 раз при снижении энергопотребления на 71 процент.

ЦП, цены ГПУ, вероятно, увеличится как TSMC Hikes Hikes Wafl цена
ЦП, цены ГПУ, вероятно, увеличится как TSMC Hikes Hikes Wafl цена

TSMC, как сообщается, поднимет цены на вафли через доску в январе. Старые узлы будут удариться сложнее, чем новые, но все получают цену.

Facebook, Instagram, Oculus, WhatsApp All Offline, Company Communication Completed [Обновлено]
Facebook, Instagram, Oculus, WhatsApp All Offline, Company Communication Completed [Обновлено]

Facebook, Instagram, Oculus и WhatsApp все падали в автономном режиме ранее сегодня на одной из худших новостей Facebook это ... неделя.