Sennheisers udviklere tog sig en blunder sidste år og fik sendt software ud der gjorde PC og Macs usikre.
Vi lever i en verden hvor kriminalitet også er rykket på nettet. Det kan være i form af malware der aflurer betalingsoplysninger og personlige informationer, eller andre farer.
Her tænker de færreste næppe på, at en fabrikants software til hovedtelefonerne også kan udgøre en sikkerhedsrisiko, men det skete for Sennheiser. Det skriver Ars Technica.
Deres softwareudviklere tog sig en blunder sidste år, hvor de sendte version 7.3 af Sennheiser-programmet HeadSetup ud til PC og Mac. Programmet HeadSetup kører i baggrunden på computeren.
Sennheiser: “HeadSetup is a client application running in the background on the headset users’ PC. The solution ensures that Sennheiser headsets and speakerphones work seamlessly with various leading softphones and give you access to latest firmware updates and personalized settings”
Bruger certifikat
HeadSetup etablerer en krypteret forbindelse til browseren via et certifikat, der blev installeret på computeren som betroet (trusted). Sennheiser anvendte ikke et certifikat administreret af et godkendt firma, som det kendes fra internettes sites med https.
I stedet var det et certifikat de selv havde signeret/godkendt, og med installationen af HeadSetup blev det certifikat nu lagret på computeren som ‘trusted’.
Sennheiser benyttede samme private krypteringsnøgle i alle deres installationer, og den bestod ikke at tilfældige bogstaver og tal. I stedet havde deres udviklere anvendt nøglen (passphrase) “SennheiserCC” (uden anførselstegn) til at kryptere med.
Sikkerhedsfirmaet Secorvo fortæller til Ars Technica at det tog dem 5 minutter at knække koden til Sennheisers “sikre” forbindelse, hvorefter de havde adgang til at misbruge et certidikat der først udløb i år 2027.
Hackere vil kunne udnytte dette til at snyde sikkerheden på internettet, ved at lade falske hjemmesider udgive sig som ægte. Sikkerhedsfirmaet Secorvo demonstrerede dette ved at vise Googles søgeside under deres kontrol.
Sennheiser har nu udsendt et fix til deres HeadSetup som lukker sikkerhedshullet og alle Sennheiser-brugere opfordres til at opdatere nu, eller afinstallere HeadSetup hvis det ikke benyttes længere.
Tilgængelighed
Til PC er det version v.8.1.6114 og til Mac er det version 5.3.7011 der lukker hullet.
Den ny HeadSetup kan hentes her.
