{"id":211546,"date":"2018-11-09T10:25:32","date_gmt":"2018-11-09T09:25:32","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=211546"},"modified":"2020-10-11T12:08:20","modified_gmt":"2020-10-11T10:08:20","slug":"sennheiser-software-mit-root-zertifikat-bricht-https-sicherheit","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/11\/09\/sennheiser-software-mit-root-zertifikat-bricht-https-sicherheit\/","title":{"rendered":"Sennheiser: Software mit Root-Zertifikat bricht https-Sicherheit"},"content":{"rendered":"

Kopfh\u00f6rer-Hersteller Sennheiser liefert eine Software f\u00fcr seine Headsets mit, die die unangenehme Eigenschaft hat, durch ein Root-Zertifikat die Sicherheit von https-Verbindungen auszuhebeln. Erg\u00e4nzung:<\/strong> Sennheiser hat mir inzwischen eine Stellungnahme zukommen lassen, die ich im Beitrag angeh\u00e4ngt habe.<\/p>\n

<\/p>\n

\"\"Es ist einfach sch\u00f6n: So mancher Hersteller meint mit seiner Software ein Root-Zertifikat mitliefern zu m\u00fcssen. Diese F\u00e4lle hatten wir ja in der Vergangenheit \u00f6fters \u2013 aber dass mittlerweile Hersteller von Headsets \u00fcber ihre Software das Ganze aushebeln, ist f\u00fcr mich neu.<\/p>\n

Kopfh\u00f6rer-Software braucht kein Mensch?<\/h2>\n

Aufgedeckt hat das Ganze die Firma secorvo, die diesen PDF-Beitrag<\/a> zum Thema samt Proof of Concept (PoC) Exploit ver\u00f6ffentlicht hat. Golem hat das Ganze in diesem Artikel<\/a> aufgegriffen und das Thema in deutscher Sprache aufbereitet. Es geht um die Sennheiser HeadSetup\u2122 Pro<\/a> Software f\u00fcr Windows. Der Hersteller bewirbt dieses Teil folgenderma\u00dfen:<\/p>\n

Sennheiser HeadSetup\u2122 Pro is a client application running in the background on the headset users' PC. The solution ensures that Sennheiser headsets and speakerphones work seamlessly with various leading softphones and give you access to latest firmware updates and personalized settings.<\/p>\n

Sennheiser HeadSetup\u2122 Pro is designed to be simple to use, allowing Sennheiser headset and speakerphone users to enhance their experience and productivity simply and quickly.<\/p><\/blockquote>\n

Also eine Software, die man eigentlich nicht braucht. Diese l\u00e4uft auf dem PC im Hintergrund, um sicherzustellen, Sennheiser Headsets und Freisprecheinrichtungen nahtlos mit verschiedenen Softphones zusammen arbeiten. Softphones sind so etwas wie Microsoft Lync 2010\/2013 (auch als Skype for Business vermarket).<\/p>\n

Software mit Root-Zertifikat<\/h2>\n

Die Software von Sennheiser \u00f6ffnet lokal auf dem System einen HTTPS-Server. Dieser dient wohl dazu, dass Webseiten mit der lokal installierten Software kommunizieren k\u00f6nnen. Um eine https-Kommunikation zu unterst\u00fctzen, wird ein Zertifikat ben\u00f6tigt. \u2013 Sennheiser hat sich f\u00fcr die Holzhammer-Methode entschieden und installiert ein Root-Zertifikat in den Zertifikatsspeicher von Windows. Damit akzeptieren Chrome und Edge dieses Zertifikat \u2013 wer das Root-Zertifikat extrahiert, kann also die https-Kommunikation mit beliebigen Webseiten, die Sennheiser-Headphone-Benutzer verwenden, aufbrechen.<\/p>\n

Bisher bietet Sennheiser keinen endg\u00fcltigen Fix, Golem schreibt<\/a> lediglich, dass eine neue Software-Version die L\u00fccke wesentlich weniger schlimm erscheinen lasse. Weitere Details lassen sich in den beiden verlinkten Artikeln nachlesen.<\/p>\n

Erg\u00e4nzung:<\/strong> Microsoft hat mit dem\u00a0Microsoft Security Advisory\u00a0ADV180029<\/a>\u00a0auf diesem Vorfall reagiert.<\/p>\n

Erg\u00e4nzung: Stellungnahme von Sennheiser<\/h2>\n

Kurz nach Ver\u00f6ffentlichung des Blog-Beitrags ging mit noch eine Stellungnahme von Sennheiser mit folgenden Zusatzinformationen zu, die ich einfach zur Information einstelle:<\/p>\n

Wie Sie bereits geschrieben haben, hat ein IT-Sicherheitsunternehmen Sennheiser Communications \u00fcber eine potenzielle Sicherheitsl\u00fccke in der Zusatz-Software \u201eHeadSetup\" and \u201eHeadSetup Pro\" informiert. Sennheiser Communications arbeitet bereits intensiv an einem Update der Software, mit dem die potenzielle Sicherheitsl\u00fccke geschlossen wird. Dieses Update wird zu Beginn der Kalenderwoche 47 zur Verf\u00fcgung stehen. Die bekannt gewordene Sicherheitsl\u00fccke betrifft die mit der HeadSetup (Pro) Software gemeinsam installierten Zertifikate im Zertifikatsspeicher des Anwenders. Die Software des Headsets selbst ist nicht betroffen, das Headset kann auch ohne die Zusatz-Software genutzt werden.<\/p>\n

Potenziell betroffene Kunden erhalten Support von Sennheiser Communications, der wie folgt erreichbar ist:<\/p>\n