| 29 ноября 2018 г. — 3:58 PT
Если вы когда-либо использовали гарнитуру или спикерфон Sennheiser с вашим Mac (или ПК с Windows), сопутствующее приложение HeadSetup оставило ваш компьютер полностью открытым для атак.
В том, что было описано как «монументальный промах в безопасности», приложение позволяет злоумышленнику успешно выдавать себя за любой безопасный веб-сайт в Интернете…
ArsTechnica объясняет.
Чтобы гарнитуры и спикерфоны Sennheiser работали безупречно с компьютерами, HeadSetup устанавливает зашифрованный Websocket с браузером. Это делается путем установки самоподписанного TLS-сертификата в центральном месте, которое операционная система использует для хранения корневых сертификатов браузера. В Windows это место называется Хранилище корневых сертификатов ЦС. На Mac оно известно как Хранилище доверенных сертификатов macOS.
Критическая уязвимость HeadSetup связана с самоподписанным корневым сертификатом, установленным версией 7.3 приложения, которая хранила закрытый криптографический ключ в формате, который можно было легко извлечь. Поскольку ключ был идентичен для всех установок программного обеспечения, хакеры могли использовать корневой сертификат для создания поддельных TLS-сертификатов, которые выдавали себя за любой HTTPS-сайт в Интернете. Хотя самоподписанные сертификаты были очевидными подделками, они принимались как подлинные на компьютерах, которые хранили плохо защищенный корневой сертификат. Что еще хуже, защита от подделок, известная как привязка сертификатов, никак не помогла бы обнаружить взлом.
Хотя приложение шифровало ключ с помощью парольной фразы, сама парольная фраза (SennheiserCC) хранилась в открытом тексте в файле конфигурации.
«Нам потребовалось несколько минут, чтобы извлечь парольную фразу из бинарного файла», — рассказал Ars исследователь Secorvo Андре Доминику. С этого момента он фактически контролировал центр сертификации, которому доверял любой компьютер, на котором было установлено уязвимое приложение Sennheiser, до 2027 года, когда истекал срок действия корневого сертификата. Доминику создал атаку методом доказательства концепции, которая создала единственный сертификат […] который подделывал Google, Sennheiser и трех конкурентов Sennheiser.
Даже если вы позже удалили приложение, сертификат по-прежнему будет доверенным. Все пользователи Mac, которые когда-либо использовали приложение HeadSetup, должны вручную удалить сертификат, следуя инструкциям Sennheiser. (Инструкции пропускают первый шаг, который заключается в том, чтобы убедиться, что вы находитесь в Finder.)
Если вы по-прежнему используете приложение, вы можете скачать последнюю версию HeadSet, которая также должна удалить уязвимый сертификат, но самым безопасным вариантом будет сделать это вручную, как описано выше.
Посетите 9to5Mac на YouTube для получения дополнительных новостей об Apple: