Sennheiser täpper till säkerhetshål som öppnade upp datorn för kapning

Sennheiser täpper till säkerhetshål som öppnade upp datorn för kapning

Sennheiser åtgärdar ett säkerhetshål i sin mjukvara Head Setup, vilket lät bedragare kapa webbanslutningar.

Säkerhetsbrister finns i alla möjliga produkter och information om dessa uppdagas med jämna mellanrum. Något som ofta inte nämns i sammanhanget är dock mjukvara till exempelvis kringutrustning, vilka inte alltför sällan har olika brister som innebär en säkerhetsrisk.

Säkerhetsforskare hos tyska Secorvo upptäckte nyligen att Sennheisers Head Setup-mjukvara lade till ett eget rotcertifikat utan att användarna informerades om det. Rotcertifikatet gjorde att Sennheiser, rent teoretiskt, kunde utfärda egna certifikat för vilken webbplats som helst – inklusive webbplatser för banker och e-handelssidor.

De skulle således kunna sätta upp en falsk version av en webbplats, som webbläsaren på en dator med Head Setup hade litat blint på. Rotcertifikatets tillhörande privata nyckel lagrades också på alla datorer som Head Setup-mjukvaran installerades på, och med tillgång till den kunde bedragare träda in i Sennheisers roll och därmed generera egna certifikat för valfria webbplatser.

När användare besöker en webbplats, såsom sweclockers.com, visas ett hänglås i adressfältet. Det garanterar att denne befinner sig på webbplatsen som står i adressfältet och att informationen skickas och tas emot över en krypterad anslutning.

Detta är möjligt tack vare certifikatet som sweclockers.com har installerat. Det är utfärdat av Rapid SSL – ett företag som därigenom garanterar webbplatsens äkthet.

Rapid SSL:s certifikat är i sin tur är utfärdat av Digicert, ett av företagen som har sitt så kallade rotcertifikat installerat på användarnas datorer. Det innebär att Microsoft och Apple har valt att lita på Digicert, och de andra företagen, vars rotcertifikat ligger förinstallerade i Windows och Mac OS.

Sweclockers.coms certifikatkedja

Vi litar på Sweclockers eftersom vi litar på Rapid SSL. Vi litar på Rapid SSL eftersom vi litar på Digicert. Vi litar på Digicert eftersom Microsoft gör det.

Secorvo har informerat Sennheiser om säkerhetsbristen, som har släppt en uppdatering som åtgärdar den. Alla som har haft Head Setup-mjukvaran på sin Windows-dator eller Mac bör installera uppdateringen eftersom rotcertifikatet annars ligger kvar på datorn, även om själva programmet avinstalleras.

Microsoft har även, i förebyggande syfte, klassat det berörda rotcertifikatet som opålitligt och uppdaterat Windows genom Windows Update.

Karl Emil Nikka är sakkunnig inom IT-säkerhetsfrågor på SweClockers och står bakom programserien "Så fungerar". Han driver dessutom utbildningsföretaget Nikka Systems med fokus på just IT-säkerhet och var dessförinnan press- och utbildningschef på Kjell & Company.

Skicka en rättelse
44

Tävla om påkostat tangentbord från Steelseries

Bakom den åttonde luckan lurar ett mekaniskt tangentbord med påkostad konstruktion, som dessutom erbjuder variabel aktiveringspunkt. Läs mer

124

Redaktionens julkalender – det stora musttestet!

En ny sort varje dag, hela vägen fram till julafton. Kommer Kenneths favorit stå sig hela vägen? Läs mer

13

Starbreeze rekonstrueras med Payday-fokus

Den svenska spelstudion Starbreeze hamnade i blåsväder i fjol, med ekonomiska problem och misstanke om insiderbrott. Nu godkänns företagets förslag på rekonstruktion. Läs mer

223

Veckans fråga: Har du klippt sladden till musen?

Att lira med trådlösa möss är på modet. Men, hur många medlemmar har tagit steget? Läs mer

13

Radeon RX 5500 XT avslöjas på bild

AMD ser ut att släppa ett fjärde Navi-kort framöver och nu skymtas partnermodeller av Radeon RX 5500 XT, som alla kommer med minimal fabriksöverklockning. Läs mer

6

Fredagspanelen 184: Kärnornas krig avgjort, Geforce GTX 1650 Super och Google Stadia

Fredagen och helgen är äntligen här och det ska firas med tillhörande hårdvarusnack med Jacob och Jonas. På menyn står processorer med väldigt många kärnor och grafikkort i mellanklassen. Läs mer

I samarbete med Corsair
12

Fläktlager – en guide till navet i datorfläkten

Kullager, glidlager, vätskelager och magnetlager är alla vanliga i datorfläktar. Vad har de för egenskaper och vad är funktionen? Läs mer

25

Samsung Galaxy Fold 2 blir billigare

Rapporter gör gällande att Samsungs nästa vikbara telefon får prislapp på nivå med vanliga flaggskeppstelefoner. Läs mer

4

3DMark får förbättrat stöd för Variable Rate Shading med Nvidia Geforce

Den som äger ett grafikkort med Nvidias Turing-arkitektur kan nu testa dess prestanda för renderingstekniken Variable Rate Shading. Läs mer

29

Microsoft planerar lösenordshanterare till Office 365

Microsoft uppges lansera en konsumentversion av det prenumerationsbaserade kontorspaketet Office 365 till våren 2020. Läs mer

7

Snapdragon 8c och 7c tar ARM till billigare bärbara datorer

Qualcomm intar lägre prisklasser inom kategorin tunna och lätta bärbara datorer med två nya ARM-processorer för Windows 10. Läs mer

78

AMD Zen 4 tillverkas på 5 nanometer – lanseras år 2021

TSMC:s utveckling av 5 nanometer går bättre än väntat. Nu framgår att AMD:s arkitektur Zen 4 för Ryzen 5000 tillverkas på tekniken. Läs mer