Слабке програмне забезпечення Sennheiser виводить користувачів, які мають хакерство
Ви не могли б очікувати, що програмне забезпечення для навушників серйозно погіршить безпеку вашого комп'ютера, але це саме те, що Sennheiser вдалося зробити. Настільна програма для своїх навушників, що називається HeadSetup та HeadSetup Pro, включала в себе копію сертифіката, що дозволяв будь-якому користувачеві усвідомлювати недоліки виявлення веб-сайтів без виявлення. Sennheiser випустив патч для програмного забезпечення, але, схоже, він не сприймає тяжкість загвинчування.
Програмне забезпечення, яке працює як на комп'ютерах Windows, так і на Apple, має на меті допомогти власникам навушників і гучномовців компанії підключатись та використовувати свої пристрої. Це робиться, але він також включав кореневий сертифікат із відкритим приватним ключем. Після встановлення система довірятиме веб-сайту за відповідним сертифікатом, оскільки Sennheiser зберігає сертифікат у магазині сертифікатів операційної системи.
За допомогою цього сертифіката для зловмисника тривіально легко створити фішинговий веб-сайт, який виглядає як справжня угода. Поки він використовує витік приватного ключа з програми Sennheiser, ваш браузер повідомить законний веб-сайт за допомогою протоколу HTTPS. Єдиний спосіб сказати щось неправильно - перевірити код сертифіката HTTPS, але практично ніхто цього не робить. У більшості випадки люди шукають замок у адресному рядку, що нічого не означає у цьому випадку. Дослідницька фірма Secorvo, яка виявила дефект, довів свою точку зору шляхом створення фальшивого веб-сайту Google, який виглядає законним для компрометованої системи.
Можливо, найгіршим аспектом помилки Sennheiser є те, що видалення HeadSetup не виправить вразливість. Навіть після очищення всього програмного забезпечення сертифікат залишається на місці та дійсний. Компанія випустила патч, який замінює цей сертифікат на той, який не випускає його приватний ключ, але неможливо змусити людей оновлювати або навіть переконатися, що вони знають, що є проблема.
Цей недолік був порівняний з помилкою Superfish Lenovo, що вплинув на комп'ютери ще в 2015 році. Superfish - це схематичне рекламне програмне забезпечення, поставляемое на комп'ютерах Lenovo, і як Sennheiser HeadSetup, він містив недосконалий кореневий сертифікат, який дозволив стороннім особам шахрайство з веб-сайтами. Це було, безумовно, гірше, оскільки помилка була попередньо завантажена на нові комп'ютери. Там буде менше систем, які зачіпають вразливість Sennheiser, але ризик для тих, хто має оновлене програмне забезпечення, дуже сильний.
Lenovo в кінцевому підсумку оштрафував 3,5 мільйона доларів на ФТК на Superfish. Можливо, Sennheiser хоче почати встановлювати деякі грошові знаки.