Слабке програмне забезпечення Sennheiser виводить користувачів, які мають хакерство

Ви не могли б очікувати, що програмне забезпечення для навушників серйозно погіршить безпеку вашого комп'ютера, але це саме те, що Sennheiser вдалося зробити. Настільна програма для своїх навушників, що називається HeadSetup та HeadSetup Pro, включала в себе копію сертифіката, що дозволяв будь-якому користувачеві усвідомлювати недоліки виявлення веб-сайтів без виявлення. Sennheiser випустив патч для програмного забезпечення, але, схоже, він не сприймає тяжкість загвинчування.
Програмне забезпечення, яке працює як на комп'ютерах Windows, так і на Apple, має на меті допомогти власникам навушників і гучномовців компанії підключатись та використовувати свої пристрої. Це робиться, але він також включав кореневий сертифікат із відкритим приватним ключем. Після встановлення система довірятиме веб-сайту за відповідним сертифікатом, оскільки Sennheiser зберігає сертифікат у магазині сертифікатів операційної системи.
За допомогою цього сертифіката для зловмисника тривіально легко створити фішинговий веб-сайт, який виглядає як справжня угода. Поки він використовує витік приватного ключа з програми Sennheiser, ваш браузер повідомить законний веб-сайт за допомогою протоколу HTTPS. Єдиний спосіб сказати щось неправильно - перевірити код сертифіката HTTPS, але практично ніхто цього не робить. У більшості випадки люди шукають замок у адресному рядку, що нічого не означає у цьому випадку. Дослідницька фірма Secorvo, яка виявила дефект, довів свою точку зору шляхом створення фальшивого веб-сайту Google, який виглядає законним для компрометованої системи.

Можливо, найгіршим аспектом помилки Sennheiser є те, що видалення HeadSetup не виправить вразливість. Навіть після очищення всього програмного забезпечення сертифікат залишається на місці та дійсний. Компанія випустила патч, який замінює цей сертифікат на той, який не випускає його приватний ключ, але неможливо змусити людей оновлювати або навіть переконатися, що вони знають, що є проблема.
Цей недолік був порівняний з помилкою Superfish Lenovo, що вплинув на комп'ютери ще в 2015 році. Superfish - це схематичне рекламне програмне забезпечення, поставляемое на комп'ютерах Lenovo, і як Sennheiser HeadSetup, він містив недосконалий кореневий сертифікат, який дозволив стороннім особам шахрайство з веб-сайтами. Це було, безумовно, гірше, оскільки помилка була попередньо завантажена на нові комп'ютери. Там буде менше систем, які зачіпають вразливість Sennheiser, але ризик для тих, хто має оновлене програмне забезпечення, дуже сильний.
Lenovo в кінцевому підсумку оштрафував 3,5 мільйона доларів на ФТК на Superfish. Можливо, Sennheiser хоче почати встановлювати деякі грошові знаки.
Читати далі

Nvidia, Google для підтримки хмарних ігор на iPhone через веб-програми
І Nvidia, і Google оголосили про підтримку iOS своїх відповідних хмарних ігрових платформ за допомогою прогресивних веб-додатків. Apple не може цього заблокувати.

Нова дошка Beagle пропонує двоядерний RISC-V, призначений для програм AI
Бюджетне обладнання RISC-V вже в дорозі, і це набагато доступніше, ніж будь-що, що ми бачили в минулому, з достатньою потужністю центрального процесора, щоб любитель міг щось з ним зробити. Пізніші моделі можуть конкурувати з чіпами, такими як Raspberry Pi, хоча, ймовірно, за дорожче.

Пентагон може скинути програму JEDI на 10 мільярдів доларів над Microsoft, Amazon Fight
Уряд настільки втомився боротися з Amazon за хмарний контракт JEDI на 10 мільярдів доларів, який надійшов корпорації Microsoft, і радше просто звільниться, ніж рухатись у судовому порядку.

Вертоліт NASA Mars залишається заземленим очікуванням програмного забезпечення
NASA Раніше зазначив, що вертоліт винахідності взяв би до марсіанського небо над вихідними, але агентство оголосило пізно в п'ятницю, яка була відкладена до кінця 14 квітня через проблему програмного забезпечення.