Знаменитые хайтек-наушники выманивали банковские пароли, чтобы красть деньги
ПО для умных наушников Sennheiser устанавливало корневой сертификат безопасности — плохо защищенный и сохранявшийся в системе даже после удаления программ с компьютера. С его помощью можно было произвести массу вредоносных манипуляций.
Не слишком умная гарнитура
Популярному немецкому производителю наушников и гарнитур Sennheiser пришлось срочно выпускать обновленные версии своих программных комплектов HeadSetup и HeadSetup Pro после того, как в них нашлись серьезные уязвимости.
HeadSetup представляет собой сопроводительное ПО, которое устанавливается на ПК и обеспечивает совместимость гарнитур Sennheiser с платформами интернет-телефонии.
Как выяснилось, при установке этой программы на компьютер, на него записываются два сертификата безопасности, в т. ч. корневой, а заодно и зашифрованная версия приватного ключа этого сертификата.
И сертификат, и закрытый ключ оказались идентичными для всех, кто устанавливает данное ПО. Защита ключа далеко не безупречна, поэтому есть риск, что злоумышленники получат возможность расшифровать ключ и выпустить фальшивые сертификаты от чужого имени. В конечном счете, это позволит производить атаки типа man-in-the-middle («человек посередине») и перехватывать трафик сторонних сайтов. Для конечных пользователей это может означать угрозу spoofing-атак: злоумышленник с помощью этих сертификатов может создать мошенническую, но достоверно выглядящую копию любого ресурса (например, сайта банка), заманить жертву на этот сайт и перехватить его логины и пароли. Хуже того, корневой сертификат не удаляется, поэтому у злоумышленников сохраняется возможность для проведения атак.
Sennheiser признали проблему и уже на прошлой неделе и выпустили обновленные версии Headsetup Pro v.2.6.8235, Headsetup: v.8.0.6114 (для PC) и v. 5.3.7011 (для Mac). Обновления удаляют уязвимые сертификаты с компьютеров. Также выпущен специальный скрипт, убирающий остатки сертификатов без обновления ПО.
Со своей стороны, Microsoft выпустила бюллетень безопасности, в котором говорится, что Windows больше не доверяет этим сертификатам.
Слабый ключ
По данным экспертов компании Secorvo, обнаруживших проблему, HeadSetup при установке вписывает в локальную систему SennComCCCert.pem (файл сертификата) и SennComCCKey.pem (приватный ключ).
Ключ был защищен шифрованием AES-128-CBC и требовал пароля для расшифровки. Поскольку программа HeadSetup сама тоже дешифрует ключ, возникло предположение, что она где-то хранит тот же пароль. Предположение оказалось верным: пароль хранился в коде файла WBCCListener.dll.
Помимо расшифровки, требовался еще один пароль для использования ключа, и его тоже удалось найти — в файле настроек WBCCServer.properties.
С ключом для корневого сертификата, эксперты Secorvo смогли выпустить трафаретный сертификат для подписания трафика с google.com, sennheiser.com, а также, смеху ради, с сайтов основных конкурентов Sennheiser — jbl.com, harmankardon.com и bose.com.
«Точно так же можно было выпустить сертификаты для сайтов любых других организаций, в том числе банков, — отмечает Михаил Зайцев, эксперт по безопасности компании SEC Consult Services. — И если бы эту уязвимость обнаружили не добросовестные эксперты, а злоумышленники, они бы без особого труда смогли причинить вполне ощутимый ущерб пользователям программы HeadSetup. В том числе бывшим, учитывая, что сертификат сохранялся в системе».