Sennheiser täpper till säkerhetshål som öppnade upp datorn för kapning

Sennheiser täpper till säkerhetshål som öppnade upp datorn för kapning

Sennheiser åtgärdar ett säkerhetshål i sin mjukvara Head Setup, vilket lät bedragare kapa webbanslutningar.

Säkerhetsbrister finns i alla möjliga produkter och information om dessa uppdagas med jämna mellanrum. Något som ofta inte nämns i sammanhanget är dock mjukvara till exempelvis kringutrustning, vilka inte alltför sällan har olika brister som innebär en säkerhetsrisk.

Säkerhetsforskare hos tyska Secorvo upptäckte nyligen att Sennheisers Head Setup-mjukvara lade till ett eget rotcertifikat utan att användarna informerades om det. Rotcertifikatet gjorde att Sennheiser, rent teoretiskt, kunde utfärda egna certifikat för vilken webbplats som helst – inklusive webbplatser för banker och e-handelssidor.

De skulle således kunna sätta upp en falsk version av en webbplats, som webbläsaren på en dator med Head Setup hade litat blint på. Rotcertifikatets tillhörande privata nyckel lagrades också på alla datorer som Head Setup-mjukvaran installerades på, och med tillgång till den kunde bedragare träda in i Sennheisers roll och därmed generera egna certifikat för valfria webbplatser.

När användare besöker en webbplats, såsom sweclockers.com, visas ett hänglås i adressfältet. Det garanterar att denne befinner sig på webbplatsen som står i adressfältet och att informationen skickas och tas emot över en krypterad anslutning.

Detta är möjligt tack vare certifikatet som sweclockers.com har installerat. Det är utfärdat av Rapid SSL – ett företag som därigenom garanterar webbplatsens äkthet.

Rapid SSL:s certifikat är i sin tur är utfärdat av Digicert, ett av företagen som har sitt så kallade rotcertifikat installerat på användarnas datorer. Det innebär att Microsoft och Apple har valt att lita på Digicert, och de andra företagen, vars rotcertifikat ligger förinstallerade i Windows och Mac OS.

Sweclockers.coms certifikatkedja

Vi litar på Sweclockers eftersom vi litar på Rapid SSL. Vi litar på Rapid SSL eftersom vi litar på Digicert. Vi litar på Digicert eftersom Microsoft gör det.

Secorvo har informerat Sennheiser om säkerhetsbristen, som har släppt en uppdatering som åtgärdar den. Alla som har haft Head Setup-mjukvaran på sin Windows-dator eller Mac bör installera uppdateringen eftersom rotcertifikatet annars ligger kvar på datorn, även om själva programmet avinstalleras.

Microsoft har även, i förebyggande syfte, klassat det berörda rotcertifikatet som opålitligt och uppdaterat Windows genom Windows Update.

Karl Emil Nikka är sakkunnig inom IT-säkerhetsfrågor på SweClockers och står bakom programserien "Så fungerar". Han driver dessutom utbildningsföretaget Nikka Systems med fokus på just IT-säkerhet och var dessförinnan press- och utbildningschef på Kjell & Company.

Kommentarer till artikeln

14 debattinlägg

Skicka en rättelse

Spelskärm från MSI med 144 Hz samt välvd VA-panel bakom dagens lucka

Julen smyger sig allt närmare och stämningen går snart att ta på. MSI laddar upp med en schysst spelskärm till nedsatt pris, vilken bjuder på såväl välvd VA-panel som 144 Hz uppdateringsfrekvens. Läs mer

28

SweClockers Juldator 2018 – tillbaka till temat prisvärdhet

Innan tomten klämmer sig ned i skorstenen är det dags att avrunda 2018 med flaggan i topp. Här är SweClockers Juldator – en lagom maskin för dig som ska bygga ditt första system. Läs mer

91

Forumet: Sätt ihop en värstingdator från millennieskiftet

Nostalgin flödar i forumet när det diskuteras komponenter som var relevanta för 20 år sedan. Hur skulle din drömdator från slutet av år 1999 se ut? Gå in i forumet och dela med dig! Läs mer

31

Logitechs mjukvara gör att datorer kan styras med kommandon från webben

Googles Project Zero varnar för ett säkerhetshål i Logitechs mjukvara, vilket gör det möjligt för angripare att skicka tangentbordskommandon till användares datorer över webben. Läs mer

32

Quiz: SweClockers quiz från Dreamhack Winter 2018

Under Dreamhack Winter 2018 bjöd SweClockers på en quiz för alla som besökte montern under mässan. Nu får även de som inte var på plats möjlighet att göra den. Läs mer

49

Mysteriet på Greveholm-spelet från 1997 kan släppas i nyutgåva

Originalskaparna av Mysteriet på Greveholm-spelet påbörjar nu en kampanj på Kickstarter, där de vill samla in pengar för att släppa en nyutgåva av speltiteln. Läs mer

26

3dfx Rampage-prototyper testas i Unreal Tournament och 3DMark 2001

Författaren till boken The Legacy of 3dfx har lyckats lägga vantarna på prototyper av 3dfx osläppta grafikkort Rampage. Följaktligen bjuds det både på bilder och prestandatest. Läs mer

36

Day Z lanseras skarpt efter fem år i Early Access

Efter en lång tid i Early Access lanseras nu den tidigare Arma 2-modden Day Z i en första skarp fristående version. Spelet blir även gratis att pröva på fram till den 17 december. Läs mer

16

GOG drar igång årets vinterrea med rabatter och återkommande gratisspel

CD Projekt Reds egen speldistributionstjänst GOG utmärker sig genom att alla spel i butiken kommer utan kopieringsskydd. Nu går dessa att få till nedsatta priser, och en del ges bort gratis. Läs mer

6

SJ inaktiverar 1,3 miljoner lösenord efter bedrägeri

Tågjätten SJ har inaktiverat samtliga kunders lösenord efter ett upptäckt bedrägeri. Exakt vad som hänt är ännu inte känt och motstridiga uppgifter florerar på webben. Läs mer

20

Galleriet: Call of Duty-inspirerade Blackout

Proffsmoddaren "timpelay" visar sin senaste kreation Blackout, som inspireras av Call of Duty: Black Ops 4 och var även en av finalisterna i årets Casemod-tävling på Dreamhack. Läs mer

37

AMD introducerar drivrutinen Radeon Software Adrenalin 2019 Edition

Trenden trogen uppdaterar AMD sin grafikdrivrutin Radeon Software, och den nya versionen får namnet Adrenalin 2019 Edition och kommer med en rad nya funktioner och förbättringar. Läs mer