森海塞爾有缺陷的耳機軟體是黑客可以利用的特洛伊木馬
雖然你可能不認為耳機會帶來網路安全風險,但德國安全公司Secorvo發現,森海塞爾(Sennheiser)耳機可能被用作木馬,可能會讓你的電腦遭到黑客攻擊。幸運的是,這個問題與硬體無關,因為耳機本身是安全的。相反,安全缺陷存在於Sennheiser的HeadSetup軟體中,以及它如何在您的PC上安裝和管理加密證書。
據研究人員稱,Sennheiser的桌面軟體正在將一個自簽名的根證書安裝到受信任的根CA證書存儲區,該存儲區有效期到2027年1月13日,同時還安裝了一個加密的私鑰。Sennheiser的問題是,該證書在每次軟體安裝時都使用相同的解密密鑰。能夠解密此密鑰的攻擊者將能夠頒發假冒任何HTTPS網站的偽造證書。這些新證書將允許攻擊者訪問其他域的流量,允許黑客執行中間人攻擊。
Secorvo在報告中指出:「我們發現,由於一個關鍵的實現缺陷,攻擊者很容易獲得一個秘密種植的根證書的秘密簽名密鑰。」這使得他或她能夠簽署並頒發技術上值得信賴的證書。受此實現漏洞影響的用戶可能成為此類證書偽造的受害者,使攻擊者可以發送(例如)可信的簽名軟體,或充當Sennheiser授權的許可權。
「有了這一點,黑客就可以有效地窺探個人的流量,並讀取和修改本應加密的流量到目標域,」《詢問者》指出了HeadSetup漏洞的危險。「從那裡,信息可能被竊取,比如與登錄到web服務有關的數據。」
根據Secorvo的報告,微軟還發布了安全建議ADV180029,警告用戶和系統管理員「無意中泄露的數字證書可能會導致欺騙」。這類漏洞與2015年被廣泛報道的聯想超級魚(Lenovo Superfish)漏洞並無不同。在聯想的案例中,用戶意識到預先安裝的bloatware帶有一個弱安全證書,該證書可能允許黑客向聯想系統注入惡意軟體,或訪問本應加密的數據。
森海塞爾聲稱,他們正在對其HeadSetup軟體進行更新,以修補這個漏洞。Secorvo在報告中寫道:「Sennheiser提前得知了這個漏洞,意識到了漏洞的影響,並開始致力於更新版本的HeadSetup來解決這個問題。」「根據開發商的說法,這個過程將需要一段時間。」
在此期間,Sennheiser實現了一個臨時修復,通過刪除證書來保護用戶。用戶可以通過耳機製造商的支持站點訪問臨時解決方案,同時HeadSetup軟體正在更新。
