Sennheiser HD1 -kuulokkeet.
Sennheiser-kuulokkeiden kontrollisovelluksesta on löydetty vakava tietoturvaheikkous, jonka avulla taitavan hakkerin on mahdollista ohittaa jopa turvallisena pidetty HTTPS-verkkoprotokolla. Asiasta uutisoi muun muassa The Register.
Sennheiser-kuulokkeiden kanssa käytettävä HeadSetup-sovellus on tarkoitettu sekä Windowsille että macOS:lle. Asennusvaiheessa sovellus käyttää juurivarmennetta, jonka luomisvaiheessa käytetty ennalta-arvattava algoritmi mahdollistaa hyökkääjän väliintulon ja niin kutsutun mies välissä -hyökkäyksen suorittamisen.
Hakkeri voi esimerkiksi luoda turvalliselta näyttävän, mutta salasanojen kalasteluun tarkoitetun verkkosivun, jolle käyttäjä ohjataan HeadSetupin turvallisena pitämän sivuston, kuten Sennheiser-keskustelupalstan, kautta. Tällöin huijaussivusto todennetaan samalla HeadSetup-sovelluksen käyttämällä juurivarmenteella, mikä saa sivuston näyttämään luotettavalta HTTPS-suojauksenkin vaikuttaessa normaalilta.
MAINOS (ARTIKKELI JATKUU ALLA)
Heikkous tietoturvassa johtuu nimenomaan HeadSetup-sovelluksen tavasta luoda juurivarmenne ennakoitavalla tavalla. Jokainen sovelluksen asennus käyttää samanlaista varmennetta, joten asiansa osaavan hakkerin on verrattain helppo päästä tunkeutumaan osaksi HeadSetupin ja verkkosivustojen välistä tietoliikennettä.
Sennheiser on jo julkaissut korjauksen, ja suosittelee kaikkia HeadSetup käyttäviä päivittämään sovelluksen välittömästi. Tietoturvaongelmat on ratkaistu poistamalla sovelluksesta mainitut juurivarmenteet, joita Sennheiser säilyttää jatkossa ainoastaan omilla palvelimillaan.
Windows-käyttäjille tarkoitettu turvallinen päivitys on versio 8.1.6114, ja macOS-käyttäjille puolestaan versio 5.3.7011. Päivitetty HeadSetup-ohjelmisto on ladattavissa Sennheiserin verkkosivuilta.
Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla
Salasana hukassa?
Etkö ole vielä rekisteröitynyt? Rekisteröidy tästä »