Слабке програмне забезпечення Sennheiser виводить користувачів, які мають хакерство
Ви не могли б очікувати, що програмне забезпечення для навушників серйозно погіршить безпеку вашого комп'ютера, але це саме те, що Sennheiser вдалося зробити. Настільна програма для своїх навушників, що називається HeadSetup та HeadSetup Pro, включала в себе копію сертифіката, що дозволяв будь-якому користувачеві усвідомлювати недоліки виявлення веб-сайтів без виявлення. Sennheiser випустив патч для програмного забезпечення, але, схоже, він не сприймає тяжкість загвинчування.
Програмне забезпечення, яке працює як на комп'ютерах Windows, так і на Apple, має на меті допомогти власникам навушників і гучномовців компанії підключатись та використовувати свої пристрої. Це робиться, але він також включав кореневий сертифікат із відкритим приватним ключем. Після встановлення система довірятиме веб-сайту за відповідним сертифікатом, оскільки Sennheiser зберігає сертифікат у магазині сертифікатів операційної системи.
За допомогою цього сертифіката для зловмисника тривіально легко створити фішинговий веб-сайт, який виглядає як справжня угода. Поки він використовує витік приватного ключа з програми Sennheiser, ваш браузер повідомить законний веб-сайт за допомогою протоколу HTTPS. Єдиний спосіб сказати щось неправильно - перевірити код сертифіката HTTPS, але практично ніхто цього не робить. У більшості випадки люди шукають замок у адресному рядку, що нічого не означає у цьому випадку. Дослідницька фірма Secorvo, яка виявила дефект, довів свою точку зору шляхом створення фальшивого веб-сайту Google, який виглядає законним для компрометованої системи.
Можливо, найгіршим аспектом помилки Sennheiser є те, що видалення HeadSetup не виправить вразливість. Навіть після очищення всього програмного забезпечення сертифікат залишається на місці та дійсний. Компанія випустила патч, який замінює цей сертифікат на той, який не випускає його приватний ключ, але неможливо змусити людей оновлювати або навіть переконатися, що вони знають, що є проблема.
Цей недолік був порівняний з помилкою Superfish Lenovo, що вплинув на комп'ютери ще в 2015 році. Superfish - це схематичне рекламне програмне забезпечення, поставляемое на комп'ютерах Lenovo, і як Sennheiser HeadSetup, він містив недосконалий кореневий сертифікат, який дозволив стороннім особам шахрайство з веб-сайтами. Це було, безумовно, гірше, оскільки помилка була попередньо завантажена на нові комп'ютери. Там буде менше систем, які зачіпають вразливість Sennheiser, але ризик для тих, хто має оновлене програмне забезпечення, дуже сильний.
Lenovo в кінцевому підсумку оштрафував 3,5 мільйона доларів на ФТК на Superfish. Можливо, Sennheiser хоче почати встановлювати деякі грошові знаки.
Читати далі
Процесори AMD Ryzen 5000 незабаром отримають адаптивне зниження напруги
AMD представить свою нову функцію Precision Boost Overclocking 2 з адаптивним недозволенням, починаючи з грудня. Ця функція буде обмежена процесорами Ryzen 5000.
7 планет TRAPPIST-1 мають напрочуд подібними властивостями
Астрономи дуже добре полюють на екзопланети за невеликої допомоги потужних наземних і космічних телескопів. Ми більше не знаходимо тут і там одну планету - ми відкриваємо цілі сонячні системи. TRAPPIST-1 представляв особливий інтерес завдяки своїй системі із семи планет, відкритих у 2016 та 2017 рр. Нове дослідження підтвердило, що всі ці планети маленькі та кам'янисті, як Земля, і всі вони напрочуд схожі одна на одну.
Новітні супутники Starlink SpaceX мають космічні лазери
За словами генерального директора Ілона Маска, це перші вузли в мережі SpaceX, які мають повністю функціонуючі системи лазерного зв'язку, що дозволяють супутникам обмінюватися даними без наземних станцій для більш швидкого та експансивного покриття.
Microsoft Backtracks: Старі ПК не отримають оновлення безпеки Windows 11
Обмеження оновлень функцій та монтаж драйверів добре. Оновлення безпеки - це мостом занадто далеко.