Знаменитые хайтек-наушники выманивали банковские пароли, чтобы красть деньги

Не слишком умнаягарнитура Популярному немецкому производителю наушников и гарнитурSennheiser пришлось срочно выпускать обновленные версии своих программныхкомплектов HeadSetup и HeadSetup Pro после того, как в них нашлись серьезные уязвимости. HeadSetup представляет собой сопроводительное ПО, котороеустанавливается на ПК и обеспечивает совместимость гарнитур Sennheiser сплатформами интернет-телефонии. Как выяснилось, при установке этой программы на компьютер,на него записываются два сертификата безопасности, в т. ч. корневой, а заодно изашифрованная версия приватного ключа этого сертификата. И сертификат, и закрытый ключ оказались идентичными длявсех, кто устанавливает данное ПО. Защита ключа далеко не безупречна, поэтомуесть риск, что злоумышленники получат возможность расшифровать ключ и выпуститьфальшивые сертификаты от чужого имени. В конечном счете, это позволитпроизводить атаки типа man-in-the-middle («человек посередине») и перехватыватьтрафик сторонних сайтов. Дляконечных пользователей это может означать угрозу spoofing-атак: злоумышленник спомощью этих сертификатов может создать мошенническую, но достоверно выглядящуюкопию любого ресурса (например, сайта банка), заманить жертву на этот сайт иперехватить его логины и пароли. Хуже того, корневой сертификат не удаляется, поэтому узлоумышленников сохраняется возможность для проведения атак.

ПО для знаменитых наушников подделывало сайты банков, выманивая пароли Sennheiser признали проблему и уже на прошлой неделе ивыпустили обновленные версии Headsetup Pro v.2.6.8235, Headsetup: v.8.0.6114(для PC) и v. 5.3.7011 (для Mac). Обновления удаляют уязвимые сертификаты скомпьютеров. Также выпущен специальный скрипт, убирающий остатки сертификатовбез обновления ПО. Со своей стороны, Microsoft выпустила бюллетеньбезопасности, в котором говорится, что Windows больше не доверяет этимсертификатам. Слабый ключ По данным экспертов компании Secorvo, обнаруживших проблему,HeadSetup при установке вписывает в локальную систему SennComCCCert.pem (файлсертификата) и SennComCCKey.pem (приватный ключ). Ключ был защищен шифрованием AES-128-CBC и требовал паролядля расшифровки. Поскольку программа HeadSetup сама тоже дешифрует ключ,возникло предположение, что она где-то хранит тот же пароль. Предположениеоказалось верным: пароль хранился в коде файла WBCCListener.dll. Помимо расшифровки, требовался еще один пароль дляиспользования ключа, и его тоже удалось найти — в файле настроекWBCCServer.properties. С ключом для корневого сертификата, эксперты Secorvo смогливыпустить трафаретный сертификат для подписания трафика с google.com,sennheiser.com, а также, смеху ради, с сайтов основных конкурентов Sennheiser —jbl.com, harmankardon.com и bose.com. «Точно так же можно было выпустить сертификаты для сайтовлюбых других организаций, в том числе банков, — отмечает Михаил Зайцев, эксперт по безопасности компании SEC ConsultServices. — И если бы эту уязвимость обнаружили не добросовестные эксперты, азлоумышленники, они бы без особого труда смогли причинить вполне ощутимый ущербпользователям программы HeadSetup. В том числе бывшим, учитывая, что сертификатсохранялся в системе». Ссылка на источник