• IT-Karriere:
  • Services:

Root-Zertifikat: Sennheiser-Software hebelt HTTPS-Sicherheit aus

Eine Software für Headsets des Herstellers Sennheiser installiert ein Root-Zertifikat und sorgt damit dafür, dass HTTPS-Verbindungen nicht mehr sicher sind. In neueren Versionen ist die Lücke etwas weniger schlimm, einen Fix gibt es bisher nicht.

Artikel veröffentlicht am , Hanno Böck
Eine Software zur Verwaltung von Sennheiser-Headsets kommt mit einer gravierenden Sicherheitslücke.
Eine Software zur Verwaltung von Sennheiser-Headsets kommt mit einer gravierenden Sicherheitslücke. (Bild: Sennheiser)

Eine Software für Headsets des Herstellers Sennheiser installiert ein Root-Zertifikat und sorgt damit dafür, dass HTTPS-Verbindungen nicht mehr sicher sind. Die IT-Sicherheitsfirma Secorvo hat diese Sicherheitslücke entdeckt. Besonders gravierend: Bisher stellt Sennheiser keinen Fix bereit und die Lücke bleibt auch nach einer Deinstallation der entsprechenden Software.

Inhalt:
  1. Root-Zertifikat: Sennheiser-Software hebelt HTTPS-Sicherheit aus
  2. Deinstallation oder Update hilft nicht

Die Headsetup-Software für Windows, die Sennheiser auf seiner Webseite zum Download anbietet, öffnet lokal auf dem System einen HTTPS-Server. Dieser dient offenbar dazu, dass Webseiten mit der lokal installierten Software kommunizieren können.

Root-Zertifikat samt privatem Schlüssel

Damit HTTPS-Verbindungen vom Browser akzeptiert werden, benötigt der entsprechende Server ein gültiges Zertifikat. Hierfür installiert die Sennheiser-Software ein Root-Zertifikat in den Zertifikatsspeicher von Windows. Somit wird das von Sennheiser selbst ausgestellte Zertifikat für 127.0.0.1 - die Localhost-IP-Adresse - vom Browser akzeptiert. Den Windows-eigenen Zertifikatsspeicher nutzen Chrome und Edge, Firefox bringt seinen eigenen Zertifikatsspeicher und ist somit nicht betroffen.

In älteren Versionen der Headsetup-Software - Secorvo hat laut eigenen Angaben die Version 7.3.4903 getestet - liegt der Software neben dem Root-Zertifikat auch der passende private Schlüssel bei. Dieser ist bei allen Installationen identisch. Der Schlüssel war zwar mit einem Passwort geschützt, das Passwort war aber Teil der Software und ließ sich leicht extrahieren.

Stellenmarkt
  1. Allianz Private Krankenversicherungs-AG, München Unterföhring
  2. Debeka Betriebskrankenkasse, Koblenz

Die Folgen sind fatal: Mit dem privaten Schlüssel lassen sich anschließend beliebige Webseiten-Zertifikate signieren. So könnte ein Angreifer etwa ein Zertifikat für google.com, facebook.com oder jede andere Domain ausstellen und damit Man-in-the-Middle-Angriffe auf Nutzer dieser Software durchführen.

In neueren Versionen wird ebenfalls ein Root-Zertifikat installiert, allerdings ohne den passenden privaten Schlüssel - den besitzt nur Sennheiser. Das Zertifikat für 127.0.0.1 ist wiederum von diesem Root-Zertifikat signiert.

Vertrauenerweckend ist das nicht: Es bedeutet zwar, dass nicht mehr jeder einen Angriff durchführen kann, aber Sennheiser selbst könnte auf Basis dieses Root-Zertifikats andere Zertifikate signieren und somit entsprechende Angriffe ermöglichen. Diese Sicherheitslücke besteht nach wie vor. Sennheiser plant laut Secorvo erst Ende November ein Update.

Secorvo weist darauf hin, dass gewöhnliche TLS-Zertifizierungsstellen, deren Root-Zertifikate von Browsern standardmäßig akzeptiert werden, üblicherweise durch zahlreiche Audits geprüft werden und sich an Sicherheitsrichtlinien halten müssen. All das gilt für das hier installierte Sennheiser-Rootzertifikat natürlich nicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Deinstallation oder Update hilft nicht 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. 28,75€ + Versand oder kostenlose Marktabholung (Vergleichspreis 45,85€ + Versand)
  2. 44,90€ + Versand (Vergleichspreis ca. 61€ inkl. Versand)
  3. (u. a. Sony KD-55A89 Bravia OLED TV 55 Zoll für 1.299€, Samsung Galaxy A20e 32GB 5,8 Zoll für...
  4. (u. a. Medion-Notebooks, Samsung-SSDs, 4K-Beamer und vieles mehr zu Bestpreisen)

Iruwen 11. Nov 2018

Wir haben ihn gelesen und vor allem auch verstanden.

Tragen 09. Nov 2018

Vorsicht vor der Aussage. Man kann Firefox sehr wohl konfigurieren dass die erlaubten...

xaru 09. Nov 2018

Hallo zusammen, mein erster Gedanke war: "warum überhaupt eine Webseite?" Hätte ja auch...


Folgen Sie uns
       


Linux unter Windows 10 installieren - Tutorial

Wir zeigen im Video, wie man in wenigen Minuten Linux unter Windows 10 zum Laufen bringt.

Linux unter Windows 10 installieren - Tutorial Video aufrufen
    •  /