Brøler med certifikater hos Sennheiser

Illustration: Sennheiser
Et certifikats private nøgle er ikke beskyttet godt nok. Det åbner for man in the middle-angreb

Microsoft udgav i går en advarsel til Windows-brugere, som anvender Sennheiser-softwaren HeadSetup eller HeadSetup Pro.

Også MacOS-versionen af ​​softwaren påvirkes tilsyneladende.

HeadSetup-software bruges til at opkoble Sennheiser-hovedtelefoner til softwarebaserede telefonløsninger fra forskellige udbydere.

Krypteringsnøgle i klartekst

Problemet er, at softwaren ikke alene installerer to ubegrænsede rootcertifikater i certifikatlageret for Trusted Root CA-certifikat (Trusted Root Certification) i Windows og i Trusted Root Certificate Store i MacOS.

Softwaren installerer også en krypteret version af certifikatets private nøgle. Ifølge Secorvo Security Consulting, som et et tysk sikkerhedsselskab, der står bag opdagelsen, er det alligevel nemt for en hacker at få adgang til denne nøgle.

Nøglen, som den private nøgle er krypteret med, er nemlig tilgængelig i almindelig klartekst i en biblioteksfil, der følger med softwaren.

Fælles for alle

Da både certifikat og privat nøgle er ens på tværs af alle installationer, åbner denne sårbarhed for, at en hacker kan udstede tilsyneladende ægte og pålidelige certifikater, der er godkendt af Sennheiser.

Browsere, der anvender det centrale certifikatlager i operativsystemet, accepterer disse certifikater. Det kan åbne for man in the middle-angreb, dvs. tapning af trafk.

Secorvo offentliggjorde detaljerne om denne sårbarhed pr. 31. oktober.

Sennheiser bekræftede det hele en uge senere, men sandsynligvis er der mange brugere, der ikke er opmærksomme på problemet.

Bekræftelsen indeholder også instruktioner på, hvordan rodcertifikater kan fjernes i henholdsvis Windows og MacOS.

Det er ikke tilstrækkeligt at afinstallere HeadSetup-softwaren.

En opdateret version af softwaren skulle rette op på problemerne.

Ikke alene

Sennheiser er ikke den eneste aktør, der har været ude i problemer af den art.

I 2015 blev mange af Lenovos pc'er leveret med Superfish-software, der installerede et rodcertifikat, der blev brugt til at opfange al HTTPS-trafik, der gik til og fra pc'ens browsere.

Samme år blev flere Dells pc-modeller leveret med et digitalt rodcertifikat fra en instans, der hed eDellRoot. Også her var alle pc'er udstyret med samme certifikat og private nøgle.

Artiklen stammer fra digi.no.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#3 Sune Marcher

Har jeg misforstået rapporten – eller drejer det her sig ikke kun om et certifikat der bliver brugt til localhost traffik, og udelukkende hvis man har installeret et SDK til at lave whatever udvikling til enheden?

I så fald er det lidt en storm i et glas vand, og det er derudover ikke et problem at distribuere privatnøglen – det er påkrævet for at httpd'en på localhost kan anvende den... det er faktisk lidt fjollet at de overhovedet har krypteret den.

Bevares, i et sådan setup er det bedre at generere unikke per-host nøgler, men det er trods alt et SDK og ikke slutbruger-programmel.

  • 0
  • 1
#4 Michael Andersen

Sune Marcher:

... men det er trods alt et SDK og ikke slutbruger-programmel.

Citat fra artiklen:

HeadSetup-software bruges til at opkoble Sennheiser-hovedtelefoner til softwarebaserede telefonløsninger fra forskellige udbydere.

Jeg synes netop det lyder som slutbruger software.

Og hvorvidt det installerede root certifikat kun bliver brugt til localhost trafik af applikationen er ikke relevant. Når du har installeret det, så er der trust til det, og så kan det også anvendes til at udstede falske certifikater til eksterne sider, som så giver mulighed for MITM angreb.

Man kan så diskutere, om programmet er udbredt nok til at udgøre en reel risiko (eftersom et evt. angreb skal målrettes mod de brugere der har det installeret), men det er en anden snak :)

  • 0
  • 0
#5 Simon Mikkelsen

Man kan så diskutere, om programmet er udbredt nok til at udgøre en reel risiko (eftersom et evt. angreb skal målrettes mod de brugere der har det installeret), men det er en anden snak :)

Softwaren benyttes bl.a. til headsets til erhvervsbrug, så hvis en angriber ved at en virksomhed benytter headsets fra Senheiser ved de også at en masse maskiener er kompromiteret. Det er bestemt problematisk.

Senheiser er rigtig gode til lyd og det er en klassisk problemstilling at man pludselig skal til at blive god til software også. Det kniber ofte.

  • 0
  • 0
#6 Sune Marcher

Softwaren benyttes bl.a. til headsets til erhvervsbrug, så hvis en angriber ved at en virksomhed benytter headsets fra Senheiser ved de også at en masse maskiener er kompromiteret. Det er bestemt problematisk.

Men opfører Sennheisers brugervendte software sig på denne måde?

Fra sektion 2 i rapporten:

The Sennheiser HeadSetup SDK supports the use of a locally connected headset by web-based softphones in a browser, loaded from a server web site via HTTPS.

Det tolkede jeg som at issuet her kun opstår med deres software development kit. Hvis deres brugervendte software også opfører sig sådan, er det et ganske reelt problem.

  • 0
  • 0
Log ind eller Opret konto for at kommentere