Root-Zertifikat: Sennheiser-Software hebelt HTTPS-Sicherheit aus

Eine Software für Headsets des Herstellers Sennheiser installiert ein Root-Zertifikat und sorgt damit dafür, dass HTTPS-Verbindungen nicht mehr sicher sind. In neueren Versionen ist die Lücke etwas weniger schlimm, einen Fix gibt es bisher nicht.

Artikel veröffentlicht am , Hanno Böck
Eine Software zur Verwaltung von Sennheiser-Headsets kommt mit einer gravierenden Sicherheitslücke.
Eine Software zur Verwaltung von Sennheiser-Headsets kommt mit einer gravierenden Sicherheitslücke. (Bild: Sennheiser)

Eine Software für Headsets des Herstellers Sennheiser installiert ein Root-Zertifikat und sorgt damit dafür, dass HTTPS-Verbindungen nicht mehr sicher sind. Die IT-Sicherheitsfirma Secorvo hat diese Sicherheitslücke entdeckt. Besonders gravierend: Bisher stellt Sennheiser keinen Fix bereit und die Lücke bleibt auch nach einer Deinstallation der entsprechenden Software.

Inhalt:
  1. Root-Zertifikat: Sennheiser-Software hebelt HTTPS-Sicherheit aus
  2. Deinstallation oder Update hilft nicht

Die Headsetup-Software für Windows, die Sennheiser auf seiner Webseite zum Download anbietet, öffnet lokal auf dem System einen HTTPS-Server. Dieser dient offenbar dazu, dass Webseiten mit der lokal installierten Software kommunizieren können.

Root-Zertifikat samt privatem Schlüssel

Damit HTTPS-Verbindungen vom Browser akzeptiert werden, benötigt der entsprechende Server ein gültiges Zertifikat. Hierfür installiert die Sennheiser-Software ein Root-Zertifikat in den Zertifikatsspeicher von Windows. Somit wird das von Sennheiser selbst ausgestellte Zertifikat für 127.0.0.1 - die Localhost-IP-Adresse - vom Browser akzeptiert. Den Windows-eigenen Zertifikatsspeicher nutzen Chrome und Edge, Firefox bringt seinen eigenen Zertifikatsspeicher und ist somit nicht betroffen.

In älteren Versionen der Headsetup-Software - Secorvo hat laut eigenen Angaben die Version 7.3.4903 getestet - liegt der Software neben dem Root-Zertifikat auch der passende private Schlüssel bei. Dieser ist bei allen Installationen identisch. Der Schlüssel war zwar mit einem Passwort geschützt, das Passwort war aber Teil der Software und ließ sich leicht extrahieren.

Stellenmarkt
  1. Koordinator (m/w/d) Digitalisierungsprozesse
    Vereinigte Papierwarenfabriken GmbH, Feuchtwangen
  2. IT Sales Consultant (w/m/d)
    SSI SCHÄFER IT Solutions GmbH, Giebelstadt, Dortmund
Detailsuche

Die Folgen sind fatal: Mit dem privaten Schlüssel lassen sich anschließend beliebige Webseiten-Zertifikate signieren. So könnte ein Angreifer etwa ein Zertifikat für google.com, facebook.com oder jede andere Domain ausstellen und damit Man-in-the-Middle-Angriffe auf Nutzer dieser Software durchführen.

In neueren Versionen wird ebenfalls ein Root-Zertifikat installiert, allerdings ohne den passenden privaten Schlüssel - den besitzt nur Sennheiser. Das Zertifikat für 127.0.0.1 ist wiederum von diesem Root-Zertifikat signiert.

Vertrauenerweckend ist das nicht: Es bedeutet zwar, dass nicht mehr jeder einen Angriff durchführen kann, aber Sennheiser selbst könnte auf Basis dieses Root-Zertifikats andere Zertifikate signieren und somit entsprechende Angriffe ermöglichen. Diese Sicherheitslücke besteht nach wie vor. Sennheiser plant laut Secorvo erst Ende November ein Update.

Secorvo weist darauf hin, dass gewöhnliche TLS-Zertifizierungsstellen, deren Root-Zertifikate von Browsern standardmäßig akzeptiert werden, üblicherweise durch zahlreiche Audits geprüft werden und sich an Sicherheitsrichtlinien halten müssen. All das gilt für das hier installierte Sennheiser-Rootzertifikat natürlich nicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Deinstallation oder Update hilft nicht 
  1. 1
  2. 2
  3.  


Aktuell auf der Startseite von Golem.de
Hubble
Uralttechnik ohne Ersatz versagt im Orbit

Das Hubble-Teleskop ist außer Betrieb. Die Speicherbänke aus den 1980er Jahren lassen sich nicht mit der CPU von 1974 ansprechen, die auf einer Platine zusammengelötet wurde.
Von Frank Wunderlich-Pfeiffer

Hubble: Uralttechnik ohne Ersatz versagt im Orbit
Artikel
  1. Batteriezellfabrik: Porsche will Hochleistungsakkus mit Silizium-Anoden bauen
    Batteriezellfabrik
    Porsche will Hochleistungsakkus mit Silizium-Anoden bauen

    Akkus für nur 1.000 Elektroautos im Jahr will Porsche mit der neuen Tochterfirma Cellforce bauen. Vor allem für den Motorsport.

  2. Pornografie: Hostprovider soll Xhamster sperren
    Pornografie
    Hostprovider soll Xhamster sperren

    Medienwächter haben den Hostprovider von Xhamster ausfindig gemacht. Dieser soll das Pornoportal für deutsche Nutzer sperren.

  3. SSDs und Monitore zum Knallerpreis beim Amazon Prime Day
     
    SSDs und Monitore zum Knallerpreis beim Amazon Prime Day

    Wer auf der Suche nach neuer Hardware ist, sollte den Prime Day von Amazon nutzen. Hier warten Rabatte auf alle möglichen Artikel.
    Ausgewählte Angebote des E-Commerce-Teams

Iruwen 11. Nov 2018

Wir haben ihn gelesen und vor allem auch verstanden.

Tragen 09. Nov 2018

Vorsicht vor der Aussage. Man kann Firefox sehr wohl konfigurieren dass die erlaubten...

xaru 09. Nov 2018

Hallo zusammen, mein erster Gedanke war: "warum überhaupt eine Webseite?" Hätte ja auch...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Amazon Prime Day • SSDs (u. a. Crucial MX500 1TB 75,04€) • Gaming-Monitore • RAM von Crucial • Fire TV Stick 4K 28,99€/Lite 18,99€ • Bosch Professional • Dualsense + Pulse 3D Headset 139,99€ • Gaming-Chairs von Razer uvm. • HyperX Cloud II 51,29€ • iPhone 12 128GB 769€ • TV OLED & QLED [Werbung]
    •  /