Слабке програмне забезпечення Sennheiser виводить користувачів, які мають хакерство
Ви не могли б очікувати, що програмне забезпечення для навушників серйозно погіршить безпеку вашого комп'ютера, але це саме те, що Sennheiser вдалося зробити. Настільна програма для своїх навушників, що називається HeadSetup та HeadSetup Pro, включала в себе копію сертифіката, що дозволяв будь-якому користувачеві усвідомлювати недоліки виявлення веб-сайтів без виявлення. Sennheiser випустив патч для програмного забезпечення, але, схоже, він не сприймає тяжкість загвинчування.
Програмне забезпечення, яке працює як на комп'ютерах Windows, так і на Apple, має на меті допомогти власникам навушників і гучномовців компанії підключатись та використовувати свої пристрої. Це робиться, але він також включав кореневий сертифікат із відкритим приватним ключем. Після встановлення система довірятиме веб-сайту за відповідним сертифікатом, оскільки Sennheiser зберігає сертифікат у магазині сертифікатів операційної системи.
За допомогою цього сертифіката для зловмисника тривіально легко створити фішинговий веб-сайт, який виглядає як справжня угода. Поки він використовує витік приватного ключа з програми Sennheiser, ваш браузер повідомить законний веб-сайт за допомогою протоколу HTTPS. Єдиний спосіб сказати щось неправильно - перевірити код сертифіката HTTPS, але практично ніхто цього не робить. У більшості випадки люди шукають замок у адресному рядку, що нічого не означає у цьому випадку. Дослідницька фірма Secorvo, яка виявила дефект, довів свою точку зору шляхом створення фальшивого веб-сайту Google, який виглядає законним для компрометованої системи.
Можливо, найгіршим аспектом помилки Sennheiser є те, що видалення HeadSetup не виправить вразливість. Навіть після очищення всього програмного забезпечення сертифікат залишається на місці та дійсний. Компанія випустила патч, який замінює цей сертифікат на той, який не випускає його приватний ключ, але неможливо змусити людей оновлювати або навіть переконатися, що вони знають, що є проблема.
Цей недолік був порівняний з помилкою Superfish Lenovo, що вплинув на комп'ютери ще в 2015 році. Superfish - це схематичне рекламне програмне забезпечення, поставляемое на комп'ютерах Lenovo, і як Sennheiser HeadSetup, він містив недосконалий кореневий сертифікат, який дозволив стороннім особам шахрайство з веб-сайтами. Це було, безумовно, гірше, оскільки помилка була попередньо завантажена на нові комп'ютери. Там буде менше систем, які зачіпають вразливість Sennheiser, але ризик для тих, хто має оновлене програмне забезпечення, дуже сильний.
Lenovo в кінцевому підсумку оштрафував 3,5 мільйона доларів на ФТК на Superfish. Можливо, Sennheiser хоче почати встановлювати деякі грошові знаки.
Читати далі
Первісні користувачі Apple M1 Mac повинні бути обережними щодо сумісності
Нові MacBook та Apple mini від Apple зробили хвилі, частково завдяки новому кремнію всередині них. Однак нова екосистема ARM від Apple не позбавлена зростаючих зусиль.
Звіт: Стадії пропустили цілі активних користувачів сотнями тисяч
Згідно з доповіддю Bloomberg, Google витратив мільйони доларів, щоб отримати ігри на кшталт Red Dead Redemption 2, але він все одно пропустив цілі активних користувачів на сотні тисяч одиниць.
Більшість користувачів Windows не знають про існування Windows 11, знаходить опитування
Завдяки декількох днях до випуску, було встановлено, що більшість користувачів Windows не усвідомлюють, що існує нова операційна система.
користувачі IOS все ще відстежуються Facebook і Snapchat, навіть якщо вони відмовилися
Незважаючи на нову компанію Apple "не відстежувати" функцію конфіденційності, додатки, такі як Facebook та Snapchat, знайшли робочий курс, щоб все ще дозволити колекцію даних.