Anzeige
Schon wieder Ärger mit Zertifikaten auf Lenovo-Laptops
Schon wieder Ärger mit Zertifikaten auf Lenovo-Laptops (Bild: Bfishadow/Flickr/CC-BY 2.0)

Lenovo/CSR: Bluetooth-Treiber installiert Root-Zertifikat

Schon wieder Ärger mit Zertifikaten auf Lenovo-Laptops
Schon wieder Ärger mit Zertifikaten auf Lenovo-Laptops (Bild: Bfishadow/Flickr/CC-BY 2.0)

Ein Bluetooth-Treiber für Chips der Firma CSR installiert zwei Root-Zertifikate, mit denen der Besitzer des privaten Schlüssels HTTPS-Verbindungen angreifen könnte. Offenbar handelt es sich um Testzertifikate zur Treibersignierung während der Entwicklung.

Noch ein Zertifikat, das ungefragt bei vielen Windows-Nutzern installiert wurde: Golem.de wurde darauf hingewiesen, dass sich auf manchen PCs mit CSR-Harmony-Bluetooth-Chips unerklärbare Zertifikate im Windows-Zertifikatsspeicher befinden. Wir konnten das nachvollziehen: Ein Treiber für den CSR-Harmony-Chip, der auf der Lenovo-Webseite angeboten wird, enthielt die entsprechenden Zertifikate.

Anzeige

Diesmal ohne privaten Schlüssel

Der Vorfall weckt natürlich Erinnerungen an den Superfish-Skandal und an die kürzlich entdeckten Zertifikate auf Dell-Laptops. Allerdings gibt es einen wichtigen Unterschied: Die hier gefundenen Zertifikate werden ohne den privaten Schlüssel installiert. Damit ist es nicht trivial für jeden möglich, diese Zertifikate für Angriffe zu nutzen. Ein Sicherheitsrisiko ist es trotzdem.

Golem.de wurde auf dieses Zertifikat von einem Moderator des Forums android-port.de hingewiesen. Bereits im Oktober hatte dieser öffentlich vor dem Zertifikat gewarnt.

Testzertifikat wurde vor Release nicht entfernt

Die Firma CSR wurde im August dieses Jahres von Qualcomm übernommen. Wir hatten bei Qualcomm und Lenovo um eine Stellungnahme gebeten. Qualcomm teilte uns nach einiger Zeit mit, dass es sich bei dem Zertifikat offenbar um ein Testzertifikat handelt, das bei der Entwicklung des Treibers zum Einsatz kam. CSR hatte offenbar Hardwareherstellern wie Lenovo eine Entwicklerversion des Bluetooth-Treibers mit diesem Zertifikat zur Verfügung gestellt. Unter Windows müssen alle Treiber signiert sein.

Da der offizielle Signaturprozess einige Zeit dauert, ist es nicht ungewöhnlich, während der Entwicklung ein Testzertifikat einzusetzen und lokal zu installieren. Aber das Zertifikat hätte vor dem finalen Release entfernt werden sollen, das wurde hier offenbar versäumt. Lenovo hat bislang nicht reagiert. Unsere Anfragen wurden nicht beantwortet und der Treiber befindet sich nach wie vor auf der Webseite zum Download.

Installiert wird das Zertifikat durch eine Datei namens cert_install.bat. Diese ruft den Windows-Zertifikatsmanager (certmgr.exe) auf, um die entsprechenden Zertifikate zu installieren. Wir fanden im Microsoft Developer Network eine Anleitung, die genau das für Testzertifikate empfiehlt. Die beiden Zertifikate tragen die Namen Harmony(Test) und HarmonyNew(Test). Beide nutzen RSA-Schlüssel mit 1.024 Bit, was schon lange als nicht mehr sicher gilt. Ein finanzstarker Angreifer könnte derartige Keys theoretisch knacken, der Aufwand wäre allerdings enorm.

Man-in-the-Middle-Angriffe denkbar

Besonders kritisch ist hierbei, dass es unter Windows keine klare Trennung von Zertifikaten zur Treibersignatur und Webseitenzertifikaten gibt. Wenn Root-Zertifikate im Zertifikatsspeicher von Windows entsprechend eingetragen werden, können diese für beides genutzt werden. Wer den privaten Schlüssel zu einem dieser Testzertifikate besitzt, kann damit also nicht nur Treiber signieren, sondern auch gültige Webseiten-Zertifikate für verschlüsselte HTTPS-Verbindungen generieren.

Übrig gebliebene Treiber-Testzertifikate sind offenbar kein Einzelfall: Nach der Entdeckung der Root-Zertifikate auf Dell-Laptops fand die Firma Duo Security auch ein Zertifikat von Atheros-Treibern, das war allerdings bereits abgelaufen. Atheros gehört ebenfalls zu Qualcomm. Und auf dem PC der Person, die uns auf das Qualcomm-Zertifikat hingewiesen hatte, fand sich weiterhin ein ebenfalls abgelaufenes Zertifikat mit dem Namen AsRock.

Windows-Nutzer können prüfen, ob sich in ihrem Zertifikatsspeicher unerwünschte Zertifikate befinden. Ein Tool, welches das ermöglicht, ist RCC (Root Certificate Checker). Auf Github findet man auch ein entsprechendes Powershell-Script.


eye home zur Startseite
Ovaron 14. Dez 2015

Sollte wohl nicht weiter schwer sein - wenn man sich auskennt. Wenigstens "Test" im Namen...

caldeum 14. Dez 2015

Schwer zu sagen. Die "richtigen" Zertifikate werden sie wohl nicht so schlampig...

Kommentieren



Anzeige

  1. Requirements Engineer (m/w) - Netzwerkinfrastruktur, IT-Security & Verbindungsmanagement
    Bosch Software Innovations GmbH, Waiblingen, Berlin
  2. Entwickler (m/w) für mobile Applikationen
    ckc group, Region Wolfsburg/Braunschweig
  3. Leitung IT-Prozesse / Anwendungen (m/w)
    ERDINGER Weißbräu, Erding
  4. Cloud-Architekt/in
    Robert Bosch GmbH, Stuttgart-Feuerbach

Detailsuche



Anzeige
Hardware-Angebote
  1. ASUS-Produkt kaufen und Download-Code für Doom erhalten
  2. TIPP: Alternate Schnäppchen Outlet
    (täglich neue Deals)
  3. TIPP: Amazon-Sale
    (reduzierte Überstände, Restposten & Co.)

Weitere Angebote


Folgen Sie uns
       


  1. Apple Store

    Apple darf keine Geschäfte in Indien eröffnen

  2. Mitsubishi MRJ90 und MRJ70

    Japans Regionaljet ist erst der Anfang

  3. Keysweeper

    FBI warnt vor Spion in USB-Ladegerät

  4. IBM-Markenkooperation

    Warum Watson in die Sesamstraße zieht

  5. Elektromobilität

    Portalbus soll Staus überfahren

  6. Vor dem Oneplus-Three-Start

    Oneplus senkt Preise seiner Smartphones

  7. Mobilfunk

    Vodafone führt Wi-Fi-Calling in Deutschland ein

  8. Xbox Scorpio

    Schneller als Playstation Neo und mit Rift-Unterstützung

  9. Android-Updates

    Google will säumige Gerätehersteller bloßstellen

  10. Elektroauto

    Teslas sind 160 Millionen Kilometer per Autopilot gefahren



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Doom im Technik-Test: Im Nightmare-Mode erzittert die Grafikkarte
Doom im Technik-Test
Im Nightmare-Mode erzittert die Grafikkarte
  1. Blackroom John Romero und das Shooter-Holodeck
  2. Doom Hölle für alle
  3. Doom Bericht aus der Bunnyhopping-Hölle

Oxford Nanopore: Das Internet der lebenden Dinge
Oxford Nanopore
Das Internet der lebenden Dinge
  1. Medizin Tricorderartiger Sensor erfasst Vitaldaten
  2. Wie Glas Forscher machen Holz transparent
  3. Smartwatch Skintrack macht den Arm zum Touchpad

Gardena Smart Garden im Test: Plug and Spray mit Hindernissen
Gardena Smart Garden im Test
Plug and Spray mit Hindernissen
  1. Smart Home Homekit soll in iOS 10 zentrale App bekommen
  2. Revolv Google macht Heimautomatisierung kaputt
  3. Intelligentes Heim Alphabet könnte sich von Nest trennen

  1. Re: Allerhöchste Zeit

    No name089 | 12:27

  2. Re: Alle 20 Minuten?

    most | 12:26

  3. Re: Der liebe Hr. Höttges lässt etwas...

    sneaker | 12:25

  4. Re: Oneplus One

    Mademan | 12:25

  5. Dann soll Google ihr Android Update System umbauen!

    KnutRider | 12:24


  1. 12:30

  2. 12:04

  3. 12:03

  4. 11:30

  5. 10:55

  6. 10:39

  7. 10:35

  8. 09:31


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel