| Durch eine Software für Headsets
des Herstellers Sennheiser wird ein Root-Zertifikat installiert, welches
dafür sorgt, dass HTTPS-Verbindungen nicht mehr sicher sind.
Entdeckt wurde diese Sicherheistlücke von der IT-Sicherheitsfirma
Secorvo. Bisher
stellt Sennheiser keinen Fix bereit, um diese Lücke zu schließen.
Die für Windows geltende Headsetup-Software,
die Sennheiser auf seiner Webseite zum Download anbietet, öffnet
lokal auf dem System einen HTTPS-Server. Dieser dient offenbar dazu,
dass Webseiten mit der lokal installierten Software kommunizieren
können.
Damit der Browser die HTTPS-Verbindung akzeptiert, benötigt
der entsprechende Server ein gültiges Zertifikat. Die Sennheiser-Software
installiert hierfür ein Root-Zertifikat
in den Zertifikatsspeicher von Windows. Somit wird das von Sennheiser
selbst ausgestellte Zertifikat für 127.0.0.1 - die Localhost-IP-Adresse
- vom Browser akzeptiert. Der Windows-eigene Zertifikatsspeicher
wird von Chrome und Edge genutzt, Firefox hingegen bringt seinen
eigenen Zertifikatsspeicher mit und ist somit nicht betroffen.
In älteren Versionen der Headsetup-Software - Secorvo hat
laut eigenen Angaben die Version 7.3.4903 getestet - liegt der Software
neben dem Root-Zertifikat auch der passende private Schlüssel
bei. Dieser ist bei allen Installationen identisch. Dieser Schlüssel
ließ sich leicht extrahieren, da er Teil der Software ist.
Durch diesen privaten Schlüssel lassen sich beliebige Webseiten-Zertifikate
signieren. So könnte ein Angreifer etwa ein Zertifikat für
google.com, facebook.com oder jede andere Domain ausstellen und
damit Man-in-the-Middle-Angriffe
auf Nutzer dieser Software durchführen.
In neueren Versionen wird ebenfalls ein Root-Zertifikat installiert,
allerdings ohne den passenden privaten Schlüssel - den besitzt
nur Sennheiser. Dennoch ist das Zertifikat für 127.0.0.1 von
diesem Root-Zertifikat signiert.
Dies bedeutet zwar, dass nicht mehr jeder einen Angriff durchführen
kann, aber Sennheiser selbst könnte auf Basis dieses Root-Zertifikats
andere Zertifikate signieren und somit entsprechende Angriffe ermöglichen.
Diese Sicherheitslücke soll laut Secorvo erst Ende November
geschlossen werden.
Zusätzlich weist Secorvo darauf hin, dass gewöhnliche
TLS-Zertifizierungsstellen, deren Root-Zertifikate von Browsern
standardmäßig akzeptiert werden, üblicherweise durch
zahlreiche Audits geprüft werden und sich an Sicherheitsrichtlinien
halten müssen. All das gilt für das hier installierte
Sennheiser-Rootzertifikat natürlich nicht.
(hv, hannover)
(siehe auch golem.de:)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|
