Microsoft kom i går med en advarsel til Windows-brukere som benytter Sennheiser-programvaren HeadSetup eller HeadSetup Pro. Men også MacOS-utgaven av programvaren skal være berørt.
HeadSetup-programvaren brukes til å koble Sennheiser-hodetelefoner til programvarebaserte telefoniløsninger fra ulike leverandører.
Rot …
Ikke bare installerer denne programvaren to ubegrensede rotsertifikat i sertifikatlageret for Trusted Root CA (klarerte rotsertifiseringsinstanser) i Windows og i Trusted Root Certificate Store i MacOS. Programvaren installerer også en kryptert versjon av sertifikatets privatnøkkel. Ifølge Secorvo Security Consulting, det tyske sikkerhetsselskapet som oppdaget det hele, er det likevel enkelt for en angriper å få tilgang til denne nøkkelen.
Krypteringsnøkkelen som privatnøkkelen er kryptert med, er tilgjengelig i klartekst i en bibliotekfil som følger med programvaren.
Felles for alle
Siden både sertifikatet og privatnøkkelen er den samme på tvers av alle installasjonene, gjør dette det mulig for en angriper å utstede tilsynelatende ekte og pålitelige sertifikater som har blitt autorisert av Sennheiser.
Nettlesere som benytter det sentrale sertifikatlageret i operativsystemet, vil akseptere disse sertifikatene. Det kan åpne for man-in-the-middel-angrep, altså avlytting av trafikken.
Secorvo publiserte detaljene om denne sårbarheten allerede den 31. oktober. Sennheiser kom med en bekreftelse en drøy uke senere, men trolig er det mange av brukerne som ikke er klar over problemet. Bekreftelsen inkluderer også instruksjoner om hvordan rotsertifikatene kan fjernes i henholdsvis Windows og MacOS. Det skal ikke være nok å avinstallere HeadSetup-programvaren.
En oppdatert utgave av programvaren skal rette problemene.
Ikke alene
Sennheiser er ikke den eneste aktøren som har gjort noe slikt. I 2015 ble mange av Lenovos forbrukerrettede pc-er levert med programvare fra selskapet Superfish, og denne programvaren installerte et rotsertifikat som ble brukt til å avskjære all HTTPS-trafikk som gikk til og fra pc-ens nettlesere.
Samme år ble flere pc-modeller fra Dell levert med et digital rotsertifikat fra en instans som het eDellRoot. Også her var alle pc-ene utstyrt med samme rotsertifikat og privatnøkkel.