Sennheiser: Software mit Root-Zertifikat bricht https-Sicherheit

Kopfhörer-Hersteller Sennheiser liefert eine Software für seine Headsets mit, die die unangenehme Eigenschaft hat, durch ein Root-Zertifikat die Sicherheit von https-Verbindungen auszuhebeln. Ergänzung: Sennheiser hat mir inzwischen eine Stellungnahme zukommen lassen, die ich im Beitrag angehängt habe.


Anzeige

Es ist einfach schön: So mancher Hersteller meint mit seiner Software ein Root-Zertifikat mitliefern zu müssen. Diese Fälle hatten wir ja in der Vergangenheit öfters – aber dass mittlerweile Hersteller von Headsets über ihre Software das Ganze aushebeln, ist für mich neu.

Kopfhörer-Software braucht kein Mensch?

Aufgedeckt hat das Ganze die Firma secorvo, die diesen PDF-Beitrag zum Thema samt Proof of Concept (PoC) Exploit veröffentlicht hat. Golem hat das Ganze in diesem Artikel aufgegriffen und das Thema in deutscher Sprache aufbereitet. Es geht um die Sennheiser HeadSetup™ Pro Software für Windows. Der Hersteller bewirbt dieses Teil folgendermaßen:

Sennheiser HeadSetup™ Pro is a client application running in the background on the headset users' PC. The solution ensures that Sennheiser headsets and speakerphones work seamlessly with various leading softphones and give you access to latest firmware updates and personalized settings.

Sennheiser HeadSetup™ Pro is designed to be simple to use, allowing Sennheiser headset and speakerphone users to enhance their experience and productivity simply and quickly.

Also eine Software, die man eigentlich nicht braucht. Diese läuft auf dem PC im Hintergrund, um sicherzustellen, Sennheiser Headsets und Freisprecheinrichtungen nahtlos mit verschiedenen Softphones zusammen arbeiten. Softphones sind so etwas wie Microsoft Lync 2010/2013 (auch als Skype for Business vermarket).

Software mit Root-Zertifikat

Die Software von Sennheiser öffnet lokal auf dem System einen HTTPS-Server. Dieser dient wohl dazu, dass Webseiten mit der lokal installierten Software kommunizieren können. Um eine https-Kommunikation zu unterstützen, wird ein Zertifikat benötigt. – Sennheiser hat sich für die Holzhammer-Methode entschieden und installiert ein Root-Zertifikat in den Zertifikatsspeicher von Windows. Damit akzeptieren Chrome und Edge dieses Zertifikat – wer das Root-Zertifikat extrahiert, kann also die https-Kommunikation mit beliebigen Webseiten, die Sennheiser-Headphone-Benutzer verwenden, aufbrechen.


Anzeige

Bisher bietet Sennheiser keinen endgültigen Fix, Golem schreibt lediglich, dass eine neue Software-Version die Lücke wesentlich weniger schlimm erscheinen lasse. Weitere Details lassen sich in den beiden verlinkten Artikeln nachlesen.

Ergänzung: Microsoft hat mit dem Microsoft Security Advisory ADV180029 auf diesem Vorfall reagiert.

Ergänzung: Stellungnahme von Sennheiser

Kurz nach Veröffentlichung des Blog-Beitrags ging mit noch eine Stellungnahme von Sennheiser mit folgenden Zusatzinformationen zu, die ich einfach zur Information einstelle:

Wie Sie bereits geschrieben haben, hat ein IT-Sicherheitsunternehmen Sennheiser Communications über eine potenzielle Sicherheitslücke in der Zusatz-Software „HeadSetup" and „HeadSetup Pro" informiert. Sennheiser Communications arbeitet bereits intensiv an einem Update der Software, mit dem die potenzielle Sicherheitslücke geschlossen wird. Dieses Update wird zu Beginn der Kalenderwoche 47 zur Verfügung stehen. Die bekannt gewordene Sicherheitslücke betrifft die mit der HeadSetup (Pro) Software gemeinsam installierten Zertifikate im Zertifikatsspeicher des Anwenders. Die Software des Headsets selbst ist nicht betroffen, das Headset kann auch ohne die Zusatz-Software genutzt werden.

Potenziell betroffene Kunden erhalten Support von Sennheiser Communications, der wie folgt erreichbar ist:

In der Zwischenzeit haben wir zudem die folgenden Maßnahmen ergriffen:

  • Wir bemühen uns aktuell das unsichere Root-Zertifikat so schnell wie möglich zentral ungültig zu machen, um die Sicherheitslücke dauerhaft und sicher zu verschließen.
  • Wir haben die Download-Möglichkeit der Software HeadSetup (Pro) von unserer Website entfernt. Kunden finden hier weitere Informationen zum Thema sowie die Kontaktdaten zu unserem Support, der bei der Entfernung der Zertifikate helfen kann. Wir stellen sowohl eine detaillierte Anleitung zur Entfernung des Zertifikats als auch ein Skript zur Verfügung, das automatisch das unsichere Root-Zertifikat aus dem Zertifikatspeicher entfernt. Die Informationen werden ab morgen online sein.
  • Wir haben ein unabhängiges IT Security Beratungsunternehmen beauftragt, ein Audit für das Update der Software durchzuführen, um die Sicherheit der Software auch extern zu prüfen.

Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Sennheiser: Software mit Root-Zertifikat bricht https-Sicherheit

  1. Windoof-User sagt:

    Ein installiertes CA-Zertifikat eines Hardwareherstellers allein ist wohl kaum ein Sicherheitsproblem, oder beklagt sich jemand über die CA-Zertifikate der Telekom und anderer Firmen die im TRCA-Speicher liegen? Das mit dem privaten Schlüssel ist natürlich peinlich, zumal ein CA-Zertifikat keinen braucht, aber auch das ist dem Grunde nach kein Problem; denn jeder kann ein Zertifikat erstellen und mit einem eigenen CA-Zertifikat signieren. In der Zukunft, sobald DANE Einzug gehalten hat, wird das auch der Standard sein. Abgesehen davon sind Zertifikate keine Sicherheitsgarantie, egal von wem sie ausgestellt oder signiert wurden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.