Abo
  • Services:

Root-Zertifikat: Sennheiser-Software hebelt HTTPS-Sicherheit aus

Eine Software für Headsets des Herstellers Sennheiser installiert ein Root-Zertifikat und sorgt damit dafür, dass HTTPS-Verbindungen nicht mehr sicher sind. In neueren Versionen ist die Lücke etwas weniger schlimm, einen Fix gibt es bisher nicht.

Artikel veröffentlicht am , Hanno Böck
Eine Software zur Verwaltung von Sennheiser-Headsets kommt mit einer gravierenden Sicherheitslücke.
Eine Software zur Verwaltung von Sennheiser-Headsets kommt mit einer gravierenden Sicherheitslücke. (Bild: Sennheiser)

Eine Software für Headsets des Herstellers Sennheiser installiert ein Root-Zertifikat und sorgt damit dafür, dass HTTPS-Verbindungen nicht mehr sicher sind. Die IT-Sicherheitsfirma Secorvo hat diese Sicherheitslücke entdeckt. Besonders gravierend: Bisher stellt Sennheiser keinen Fix bereit und die Lücke bleibt auch nach einer Deinstallation der entsprechenden Software.

Inhalt:
  1. Root-Zertifikat: Sennheiser-Software hebelt HTTPS-Sicherheit aus
  2. Deinstallation oder Update hilft nicht

Die Headsetup-Software für Windows, die Sennheiser auf seiner Webseite zum Download anbietet, öffnet lokal auf dem System einen HTTPS-Server. Dieser dient offenbar dazu, dass Webseiten mit der lokal installierten Software kommunizieren können.

Root-Zertifikat samt privatem Schlüssel

Damit HTTPS-Verbindungen vom Browser akzeptiert werden, benötigt der entsprechende Server ein gültiges Zertifikat. Hierfür installiert die Sennheiser-Software ein Root-Zertifikat in den Zertifikatsspeicher von Windows. Somit wird das von Sennheiser selbst ausgestellte Zertifikat für 127.0.0.1 - die Localhost-IP-Adresse - vom Browser akzeptiert. Den Windows-eigenen Zertifikatsspeicher nutzen Chrome und Edge, Firefox bringt seinen eigenen Zertifikatsspeicher und ist somit nicht betroffen.

In älteren Versionen der Headsetup-Software - Secorvo hat laut eigenen Angaben die Version 7.3.4903 getestet - liegt der Software neben dem Root-Zertifikat auch der passende private Schlüssel bei. Dieser ist bei allen Installationen identisch. Der Schlüssel war zwar mit einem Passwort geschützt, das Passwort war aber Teil der Software und ließ sich leicht extrahieren.

Stellenmarkt
  1. Bundeskriminalamt, Wiesbaden
  2. ivv GmbH, Hannover

Die Folgen sind fatal: Mit dem privaten Schlüssel lassen sich anschließend beliebige Webseiten-Zertifikate signieren. So könnte ein Angreifer etwa ein Zertifikat für google.com, facebook.com oder jede andere Domain ausstellen und damit Man-in-the-Middle-Angriffe auf Nutzer dieser Software durchführen.

In neueren Versionen wird ebenfalls ein Root-Zertifikat installiert, allerdings ohne den passenden privaten Schlüssel - den besitzt nur Sennheiser. Das Zertifikat für 127.0.0.1 ist wiederum von diesem Root-Zertifikat signiert.

Vertrauenerweckend ist das nicht: Es bedeutet zwar, dass nicht mehr jeder einen Angriff durchführen kann, aber Sennheiser selbst könnte auf Basis dieses Root-Zertifikats andere Zertifikate signieren und somit entsprechende Angriffe ermöglichen. Diese Sicherheitslücke besteht nach wie vor. Sennheiser plant laut Secorvo erst Ende November ein Update.

Secorvo weist darauf hin, dass gewöhnliche TLS-Zertifizierungsstellen, deren Root-Zertifikate von Browsern standardmäßig akzeptiert werden, üblicherweise durch zahlreiche Audits geprüft werden und sich an Sicherheitsrichtlinien halten müssen. All das gilt für das hier installierte Sennheiser-Rootzertifikat natürlich nicht.

Deinstallation oder Update hilft nicht 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. (u. a. Corsair STRAFE RGB für 109,90€ + Versand statt ca. 160€ im Vergleich und Corsair STRAFE...
  2. (u. a. Rise of the Tomb Raider - 20 Year Celebration Edition für 12,49€ und The Elder Scrolls V...
  3. (u. a. The Crew 2 für 29,99€)
  4. 119,90€ + Versand (Vergleichspreis ca. 175€)

Iruwen 11. Nov 2018 / Themenstart

Wir haben ihn gelesen und vor allem auch verstanden.

Tragen 09. Nov 2018 / Themenstart

Vorsicht vor der Aussage. Man kann Firefox sehr wohl konfigurieren dass die erlaubten...

xaru 09. Nov 2018 / Themenstart

Hallo zusammen, mein erster Gedanke war: "warum überhaupt eine Webseite?" Hätte ja auch...

Kommentieren


Folgen Sie uns
       


Assassin's Creed Odyssey - Test

Wir hätten nicht gedacht, dass wir erneut so gerne so viel Zeit in Ubisofts Antike verbringen.

Assassin's Creed Odyssey - Test Video aufrufen
NGT Cargo: Der Güterzug der Zukunft fährt 400 km/h
NGT Cargo
Der Güterzug der Zukunft fährt 400 km/h

Güterzüge sind lange, laute Gebilde, die langsam durch die Lande zuckeln. Das soll sich ändern: Das DLR hat ein Konzept für einen automatisiert fahrenden Hochgeschwindigkeitsgüterzug entwickelt, der schneller ist als der schnellste ICE.
Ein Bericht von Werner Pluta


    Interview Alienware: Keiner baut dir einen besseren Gaming-PC als du selbst!
    Interview Alienware
    "Keiner baut dir einen besseren Gaming-PC als du selbst!"

    Selbst bauen oder Komplettsystem kaufen, die Zukunft von Raytracing und was E-Sport-Profis über Hardware denken: Golem.de hat im Interview mit Frank Azor, dem Chef von Alienware, über PC-Gaming gesprochen.
    Von Peter Steinlechner

    1. Dell Alienware M15 wird schlanker und läuft 17 Stunden
    2. Dell Intel Core i9 in neuen Alienware-Laptops ab Werk übertaktet

    Job-Porträt Cyber-Detektiv: Ich musste als Ermittler über 1.000 Onanie-Videos schauen
    Job-Porträt Cyber-Detektiv
    "Ich musste als Ermittler über 1.000 Onanie-Videos schauen"

    Online-Detektive müssen permanent löschen, wo unvorsichtige Internetnutzer einen digitalen Flächenbrand gelegt haben. Mathias Kindt-Hopffer hat Golem.de von seinem Berufsalltag erzählt.
    Von Maja Hoock

    1. Software-Entwickler CDU will Online-Weiterbildung à la Netflix
    2. Bundesagentur für Arbeit Ausbildungsplätze in der Informatik sind knapp
    3. IT-Jobs "Jedes Unternehmen kann es besser machen"

      •  /