• IT-Karriere:
  • Services:

Root-Zertifikat: Sennheiser-Software hebelt HTTPS-Sicherheit aus

Eine Software für Headsets des Herstellers Sennheiser installiert ein Root-Zertifikat und sorgt damit dafür, dass HTTPS-Verbindungen nicht mehr sicher sind. In neueren Versionen ist die Lücke etwas weniger schlimm, einen Fix gibt es bisher nicht.

Artikel veröffentlicht am , Hanno Böck
Eine Software zur Verwaltung von Sennheiser-Headsets kommt mit einer gravierenden Sicherheitslücke.
Eine Software zur Verwaltung von Sennheiser-Headsets kommt mit einer gravierenden Sicherheitslücke. (Bild: Sennheiser)

Eine Software für Headsets des Herstellers Sennheiser installiert ein Root-Zertifikat und sorgt damit dafür, dass HTTPS-Verbindungen nicht mehr sicher sind. Die IT-Sicherheitsfirma Secorvo hat diese Sicherheitslücke entdeckt. Besonders gravierend: Bisher stellt Sennheiser keinen Fix bereit und die Lücke bleibt auch nach einer Deinstallation der entsprechenden Software.

Inhalt:
  1. Root-Zertifikat: Sennheiser-Software hebelt HTTPS-Sicherheit aus
  2. Deinstallation oder Update hilft nicht

Die Headsetup-Software für Windows, die Sennheiser auf seiner Webseite zum Download anbietet, öffnet lokal auf dem System einen HTTPS-Server. Dieser dient offenbar dazu, dass Webseiten mit der lokal installierten Software kommunizieren können.

Root-Zertifikat samt privatem Schlüssel

Damit HTTPS-Verbindungen vom Browser akzeptiert werden, benötigt der entsprechende Server ein gültiges Zertifikat. Hierfür installiert die Sennheiser-Software ein Root-Zertifikat in den Zertifikatsspeicher von Windows. Somit wird das von Sennheiser selbst ausgestellte Zertifikat für 127.0.0.1 - die Localhost-IP-Adresse - vom Browser akzeptiert. Den Windows-eigenen Zertifikatsspeicher nutzen Chrome und Edge, Firefox bringt seinen eigenen Zertifikatsspeicher und ist somit nicht betroffen.

In älteren Versionen der Headsetup-Software - Secorvo hat laut eigenen Angaben die Version 7.3.4903 getestet - liegt der Software neben dem Root-Zertifikat auch der passende private Schlüssel bei. Dieser ist bei allen Installationen identisch. Der Schlüssel war zwar mit einem Passwort geschützt, das Passwort war aber Teil der Software und ließ sich leicht extrahieren.

Stellenmarkt
  1. ING-DiBa AG, Frankfurt
  2. Hays AG, Rheinfelden

Die Folgen sind fatal: Mit dem privaten Schlüssel lassen sich anschließend beliebige Webseiten-Zertifikate signieren. So könnte ein Angreifer etwa ein Zertifikat für google.com, facebook.com oder jede andere Domain ausstellen und damit Man-in-the-Middle-Angriffe auf Nutzer dieser Software durchführen.

In neueren Versionen wird ebenfalls ein Root-Zertifikat installiert, allerdings ohne den passenden privaten Schlüssel - den besitzt nur Sennheiser. Das Zertifikat für 127.0.0.1 ist wiederum von diesem Root-Zertifikat signiert.

Vertrauenerweckend ist das nicht: Es bedeutet zwar, dass nicht mehr jeder einen Angriff durchführen kann, aber Sennheiser selbst könnte auf Basis dieses Root-Zertifikats andere Zertifikate signieren und somit entsprechende Angriffe ermöglichen. Diese Sicherheitslücke besteht nach wie vor. Sennheiser plant laut Secorvo erst Ende November ein Update.

Secorvo weist darauf hin, dass gewöhnliche TLS-Zertifizierungsstellen, deren Root-Zertifikate von Browsern standardmäßig akzeptiert werden, üblicherweise durch zahlreiche Audits geprüft werden und sich an Sicherheitsrichtlinien halten müssen. All das gilt für das hier installierte Sennheiser-Rootzertifikat natürlich nicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Deinstallation oder Update hilft nicht 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

Iruwen 11. Nov 2018

Wir haben ihn gelesen und vor allem auch verstanden.

Tragen 09. Nov 2018

Vorsicht vor der Aussage. Man kann Firefox sehr wohl konfigurieren dass die erlaubten...

xaru 09. Nov 2018

Hallo zusammen, mein erster Gedanke war: "warum überhaupt eine Webseite?" Hätte ja auch...


Folgen Sie uns
       


Magenta-TV-Stick der Deutschen Telekom - Test

Der Magenta-TV-Stick befindet sich noch im Betatest, so dass einige Funktionen noch fehlen und später nachgereicht werden. Der Stick läuft mit einer angepassten Version von Android TV. Bei Magenta TV selbst sehen wir noch viel Verbesserungsbedarf.

Magenta-TV-Stick der Deutschen Telekom - Test Video aufrufen
Big Blue Button: Wie CCC-Urgesteine gegen Teams und Zoom kämpfen
Big Blue Button
Wie CCC-Urgesteine gegen Teams und Zoom kämpfen

Ein Verein aus dem Umfeld des CCC zeigt in Berlin, wie sich Schulen mit Open Source digitalisieren lassen. Schüler, Eltern und Lehrer sind begeistert.
Ein Bericht von Friedhelm Greis

  1. Mint-Allianz Wir bleiben schlau! Wir bleiben unwissend!
  2. Programmieren lernen Informatik-Apps für Kinder sind oft zu komplex

Core i9-10900K & Core i5-10600K im Test: Die Letzten ihrer Art
Core i9-10900K & Core i5-10600K im Test
Die Letzten ihrer Art

Noch einmal 14 nm und Skylake-Architektur: Intel holt alles aus der CPU-Technik heraus, was 250 Watt rein für die CPU bedeutet.
Ein Test von Marc Sauter

  1. Comet Lake Intels vPro-Chips takten höher
  2. Comet Lake S Intel tritt mit 250-Watt-Boost und zehn Kernen an
  3. Core i7-10875H im Test Comet Lake glüht nur auf einem Kern

Change-Management: Wie man Mitarbeiter mitnimmt
Change-Management
Wie man Mitarbeiter mitnimmt

Wenn eine Firma neue Software einführt oder Prozesse digitalisiert, stößt sie intern oft auf Skepsis. Häufig heißt es dann, man müsse "die Mitarbeiter mitnehmen" - aber wie?
Von Markus Kammermeier

  1. Digitalisierung in Deutschland Wer stand hier "auf der Leitung"?
  2. Workflows Wenn Digitalisierung aus 2 Papierseiten 20 macht
  3. Digitalisierung Aber das Faxgerät muss bleiben!

    •  /