Brøler med certifikater hos Sennheiser

6 kommentarer.  Hop til debatten
Brøler med certifikater hos Sennheiser
Illustration: Sennheiser.
Et certifikats private nøgle er ikke beskyttet godt nok. Det åbner for man in the middle-angreb
28. november 2018 kl. 15:21
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Microsoft udgav i går en advarsel til Windows-brugere, som anvender Sennheiser-softwaren HeadSetup eller HeadSetup Pro.

Også MacOS-versionen af ​​softwaren påvirkes tilsyneladende.

HeadSetup-software bruges til at opkoble Sennheiser-hovedtelefoner til softwarebaserede telefonløsninger fra forskellige udbydere.

Krypteringsnøgle i klartekst

Problemet er, at softwaren ikke alene installerer to ubegrænsede rootcertifikater i certifikatlageret for Trusted Root CA-certifikat (Trusted Root Certification) i Windows og i Trusted Root Certificate Store i MacOS.

Artiklen fortsætter efter annoncen

Softwaren installerer også en krypteret version af certifikatets private nøgle. Ifølge Secorvo Security Consulting, som et et tysk sikkerhedsselskab, der står bag opdagelsen, er det alligevel nemt for en hacker at få adgang til denne nøgle.

Nøglen, som den private nøgle er krypteret med, er nemlig tilgængelig i almindelig klartekst i en biblioteksfil, der følger med softwaren.

Fælles for alle

Da både certifikat og privat nøgle er ens på tværs af alle installationer, åbner denne sårbarhed for, at en hacker kan udstede tilsyneladende ægte og pålidelige certifikater, der er godkendt af Sennheiser.

Browsere, der anvender det centrale certifikatlager i operativsystemet, accepterer disse certifikater. Det kan åbne for man in the middle-angreb, dvs. tapning af trafk.

Artiklen fortsætter efter annoncen

Secorvo offentliggjorde detaljerne om denne sårbarhed pr. 31. oktober.

Sennheiser bekræftede det hele en uge senere, men sandsynligvis er der mange brugere, der ikke er opmærksomme på problemet.

Bekræftelsen indeholder også instruktioner på, hvordan rodcertifikater kan fjernes i henholdsvis Windows og MacOS.

Det er ikke tilstrækkeligt at afinstallere HeadSetup-softwaren.

En opdateret version af softwaren skulle rette op på problemerne.

Ikke alene

Sennheiser er ikke den eneste aktør, der har været ude i problemer af den art.

I 2015 blev mange af Lenovos pc'er leveret med Superfish-software, der installerede et rodcertifikat, der blev brugt til at opfange al HTTPS-trafik, der gik til og fra pc'ens browsere.

Samme år blev flere Dells pc-modeller leveret med et digitalt rodcertifikat fra en instans, der hed eDellRoot. Også her var alle pc'er udstyret med samme certifikat og private nøgle.

Artiklen stammer fra digi.no.

6 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
6
29. november 2018 kl. 10:00

Softwaren benyttes bl.a. til headsets til erhvervsbrug, så hvis en angriber ved at en virksomhed benytter headsets fra Senheiser ved de også at en masse maskiener er kompromiteret. Det er bestemt problematisk.

Men opfører Sennheisers brugervendte software sig på denne måde?

Fra sektion 2 i rapporten:

The Sennheiser HeadSetup SDK supports the use of a locally connected headset by web-based softphones in a browser, loaded from a server web site via HTTPS.

Det tolkede jeg som at issuet her kun opstår med deres software development kit. Hvis deres brugervendte software også opfører sig sådan, er det et ganske reelt problem.

5
29. november 2018 kl. 09:35

Man kan så diskutere, om programmet er udbredt nok til at udgøre en reel risiko (eftersom et evt. angreb skal målrettes mod de brugere der har det installeret), men det er en anden snak :)

Softwaren benyttes bl.a. til headsets til erhvervsbrug, så hvis en angriber ved at en virksomhed benytter headsets fra Senheiser ved de også at en masse maskiener er kompromiteret. Det er bestemt problematisk.

Senheiser er rigtig gode til lyd og det er en klassisk problemstilling at man pludselig skal til at blive god til software også. Det kniber ofte.

4
29. november 2018 kl. 09:00

Sune Marcher:

... men det er trods alt et SDK og ikke slutbruger-programmel.

Citat fra artiklen:

HeadSetup-software bruges til at opkoble Sennheiser-hovedtelefoner til softwarebaserede telefonløsninger fra forskellige udbydere.

Jeg synes netop det lyder som slutbruger software.

Og hvorvidt det installerede root certifikat kun bliver brugt til localhost trafik af applikationen er ikke relevant. Når du har installeret det, så er der trust til det, og så kan det også anvendes til at udstede falske certifikater til eksterne sider, som så giver mulighed for MITM angreb.

Man kan så diskutere, om programmet er udbredt nok til at udgøre en reel risiko (eftersom et evt. angreb skal målrettes mod de brugere der har det installeret), men det er en anden snak :)

3
29. november 2018 kl. 08:16

Har jeg misforstået rapporten – eller drejer det her sig ikke kun om et certifikat der bliver brugt til localhost traffik, og udelukkende hvis man har installeret et SDK til at lave whatever udvikling til enheden?

I så fald er det lidt en storm i et glas vand, og det er derudover ikke et problem at distribuere privatnøglen – det er påkrævet for at httpd'en på localhost kan anvende den... det er faktisk lidt fjollet at de overhovedet har krypteret den.

Bevares, i et sådan setup er det bedre at generere unikke per-host nøgler, men det er trods alt et SDK og ikke slutbruger-programmel.

2
28. november 2018 kl. 19:16

Nej.

Man distribuerer ALDRIG sin privatnøgle. Det er derfor det er en privat nøgle.

Det her er lavet af nogen, der ikke fortår PKI.

1
28. november 2018 kl. 16:05

Så sker denne type af hændelser.