Abo
  • Services:

Root-Zertifikat: Sennheiser-Software hebelt HTTPS-Sicherheit aus

Eine Software für Headsets des Herstellers Sennheiser installiert ein Root-Zertifikat und sorgt damit dafür, dass HTTPS-Verbindungen nicht mehr sicher sind. In neueren Versionen ist die Lücke etwas weniger schlimm, einen Fix gibt es bisher nicht.

Artikel veröffentlicht am , Hanno Böck
Eine Software zur Verwaltung von Sennheiser-Headsets kommt mit einer gravierenden Sicherheitslücke.
Eine Software zur Verwaltung von Sennheiser-Headsets kommt mit einer gravierenden Sicherheitslücke. (Bild: Sennheiser)

Eine Software für Headsets des Herstellers Sennheiser installiert ein Root-Zertifikat und sorgt damit dafür, dass HTTPS-Verbindungen nicht mehr sicher sind. Die IT-Sicherheitsfirma Secorvo hat diese Sicherheitslücke entdeckt. Besonders gravierend: Bisher stellt Sennheiser keinen Fix bereit und die Lücke bleibt auch nach einer Deinstallation der entsprechenden Software.

Inhalt:
  1. Root-Zertifikat: Sennheiser-Software hebelt HTTPS-Sicherheit aus
  2. Deinstallation oder Update hilft nicht

Die Headsetup-Software für Windows, die Sennheiser auf seiner Webseite zum Download anbietet, öffnet lokal auf dem System einen HTTPS-Server. Dieser dient offenbar dazu, dass Webseiten mit der lokal installierten Software kommunizieren können.

Root-Zertifikat samt privatem Schlüssel

Damit HTTPS-Verbindungen vom Browser akzeptiert werden, benötigt der entsprechende Server ein gültiges Zertifikat. Hierfür installiert die Sennheiser-Software ein Root-Zertifikat in den Zertifikatsspeicher von Windows. Somit wird das von Sennheiser selbst ausgestellte Zertifikat für 127.0.0.1 - die Localhost-IP-Adresse - vom Browser akzeptiert. Den Windows-eigenen Zertifikatsspeicher nutzen Chrome und Edge, Firefox bringt seinen eigenen Zertifikatsspeicher und ist somit nicht betroffen.

In älteren Versionen der Headsetup-Software - Secorvo hat laut eigenen Angaben die Version 7.3.4903 getestet - liegt der Software neben dem Root-Zertifikat auch der passende private Schlüssel bei. Dieser ist bei allen Installationen identisch. Der Schlüssel war zwar mit einem Passwort geschützt, das Passwort war aber Teil der Software und ließ sich leicht extrahieren.

Stellenmarkt
  1. Dataport, verschiedene Standorte
  2. Wacker Chemie AG, Burghausen

Die Folgen sind fatal: Mit dem privaten Schlüssel lassen sich anschließend beliebige Webseiten-Zertifikate signieren. So könnte ein Angreifer etwa ein Zertifikat für google.com, facebook.com oder jede andere Domain ausstellen und damit Man-in-the-Middle-Angriffe auf Nutzer dieser Software durchführen.

In neueren Versionen wird ebenfalls ein Root-Zertifikat installiert, allerdings ohne den passenden privaten Schlüssel - den besitzt nur Sennheiser. Das Zertifikat für 127.0.0.1 ist wiederum von diesem Root-Zertifikat signiert.

Vertrauenerweckend ist das nicht: Es bedeutet zwar, dass nicht mehr jeder einen Angriff durchführen kann, aber Sennheiser selbst könnte auf Basis dieses Root-Zertifikats andere Zertifikate signieren und somit entsprechende Angriffe ermöglichen. Diese Sicherheitslücke besteht nach wie vor. Sennheiser plant laut Secorvo erst Ende November ein Update.

Secorvo weist darauf hin, dass gewöhnliche TLS-Zertifizierungsstellen, deren Root-Zertifikate von Browsern standardmäßig akzeptiert werden, üblicherweise durch zahlreiche Audits geprüft werden und sich an Sicherheitsrichtlinien halten müssen. All das gilt für das hier installierte Sennheiser-Rootzertifikat natürlich nicht.

Deinstallation oder Update hilft nicht 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. (u. a. Window Silver für 99,90€ + Versand)
  2. 87,99€ + Versand (Vergleichspreis ca. 101€ + Versand)
  3. (u. a. Nokia 8 Sirocco für 349€ und HTC U12 Life Dual-SIM für 199€)

Iruwen 11. Nov 2018

Wir haben ihn gelesen und vor allem auch verstanden.

Tragen 09. Nov 2018

Vorsicht vor der Aussage. Man kann Firefox sehr wohl konfigurieren dass die erlaubten...

xaru 09. Nov 2018

Hallo zusammen, mein erster Gedanke war: "warum überhaupt eine Webseite?" Hätte ja auch...


Folgen Sie uns
       


LG 5K2K (34WK95U) Ultrawide - Fazit

Der aktuelle Ultrawide von LG hat eine beeindruckend hohe Auflösung und eignet sich wunderbar für Streamer oder die Videobearbeitung.

LG 5K2K (34WK95U) Ultrawide - Fazit Video aufrufen
Dirt Rally 2.0 im Test: Extra, extra gut
Dirt Rally 2.0 im Test
Extra, extra gut

Codemasters übertrifft mit Dirt Rally 2.0 das bereits famose Dirt Rally - allerdings nicht in allen Punkten.
Von Michael Wieczorek

  1. Dirt Rally 2.0 angespielt Mit Konzentration und Geschick durch immer tieferen Schlamm
  2. Codemasters Simulationslastiges Rennspiel Dirt Rally 2.0 angekündigt

Honor Magic 2 im Test: Die Smartphone-Revolution ist aufgeschoben
Honor Magic 2 im Test
Die Smartphone-Revolution ist aufgeschoben

Ein Smartphone, dessen vordere Seite vollständig vom Display ausgefüllt wird: Diesem Ideal kommt Honor mit dem Magic 2 schon ziemlich nahe. Nicht mit Magie, sondern mit Hilfe eines Slider-Mechanismus. Honor verschenkt beim Magic 2 aber viel Potenzial, wie der Test zeigt.
Ein Test von Tobias Czullay

  1. Honor Neues Magic 2 mit Slider und ohne Notch vorgestellt
  2. Huawei Neues Honor 8X kostet 250 Euro
  3. Honor 10 vs. Oneplus 6 Oberklasse ab 400 Euro

Emotionen erkennen: Ein Lächeln macht noch keinen Frohsinn
Emotionen erkennen
Ein Lächeln macht noch keinen Frohsinn

Wer lächelt, ist froh - zumindest in der Interpretation eines Computers. Die gängigen Systeme zur Emotionserkennung interpretieren den Gesichtsausdruck als internes Gefühl. Die interne Gefühlswelt ist jedoch sehr viel komplexer. Ein Projekt des DFKI entwickelt ein System, das Gefühle besser erkennen soll.
Ein Bericht von Werner Pluta

  1. Ökostrom Wie Norddeutschland die Energiewende vormacht
  2. Magnetfeld Wenn der Nordpol wandern geht
  3. Computational Periscopy Forscher sehen mit einfacher Digitalkamera um die Ecke

    •  /