Знаменитые хайтек-наушники выманивали банковские пароли, чтобы красть деньги
04 дек 2018 11:40 #74182
от ICT
Не слишком умнаягарнитура Популярному немецкому производителю наушников и гарнитурSennheiser пришлось срочно выпускать обновленные версии своих программныхкомплектов HeadSetup и HeadSetup Pro после того, как в них нашлись серьезные уязвимости. HeadSetup представляет собой сопроводительное ПО, котороеустанавливается на ПК и обеспечивает совместимость гарнитур Sennheiser сплатформами интернет-телефонии. Как выяснилось, при установке этой программы на компьютер,на него записываются два сертификата безопасности, в т. ч. корневой, а заодно изашифрованная версия приватного ключа этого сертификата. И сертификат, и закрытый ключ оказались идентичными длявсех, кто устанавливает данное ПО. Защита ключа далеко не безупречна, поэтомуесть риск, что злоумышленники получат возможность расшифровать ключ и выпуститьфальшивые сертификаты от чужого имени. В конечном счете, это позволитпроизводить атаки типа man-in-the-middle («человек посередине») и перехватыватьтрафик сторонних сайтов. Дляконечных пользователей это может означать угрозу spoofing-атак: злоумышленник спомощью этих сертификатов может создать мошенническую, но достоверно выглядящуюкопию любого ресурса (например, сайта банка), заманить жертву на этот сайт иперехватить его логины и пароли. Хуже того, корневой сертификат не удаляется, поэтому узлоумышленников сохраняется возможность для проведения атак.
ПО для знаменитых наушников подделывало сайты банков, выманивая пароли Sennheiser признали проблему и уже на прошлой неделе ивыпустили обновленные версии Headsetup Pro v.2.6.8235, Headsetup: v.8.0.6114(для PC) и v. 5.3.7011 (для Mac). Обновления удаляют уязвимые сертификаты скомпьютеров. Также выпущен специальный скрипт, убирающий остатки сертификатовбез обновления ПО. Со своей стороны, Microsoft выпустила бюллетеньбезопасности, в котором говорится, что Windows больше не доверяет этимсертификатам. Слабый ключ По данным экспертов компании Secorvo, обнаруживших проблему,HeadSetup при установке вписывает в локальную систему SennComCCCert.pem (файлсертификата) и SennComCCKey.pem (приватный ключ). Ключ был защищен шифрованием AES-128-CBC и требовал паролядля расшифровки. Поскольку программа HeadSetup сама тоже дешифрует ключ,возникло предположение, что она где-то хранит тот же пароль. Предположениеоказалось верным: пароль хранился в коде файла WBCCListener.dll. Помимо расшифровки, требовался еще один пароль дляиспользования ключа, и его тоже удалось найти — в файле настроекWBCCServer.properties. С ключом для корневого сертификата, эксперты Secorvo смогливыпустить трафаретный сертификат для подписания трафика с google.com,sennheiser.com, а также, смеху ради, с сайтов основных конкурентов Sennheiser —jbl.com, harmankardon.com и bose.com. «Точно так же можно было выпустить сертификаты для сайтовлюбых других организаций, в том числе банков, — отмечает Михаил Зайцев, эксперт по безопасности компании SEC ConsultServices. — И если бы эту уязвимость обнаружили не добросовестные эксперты, азлоумышленники, они бы без особого труда смогли причинить вполне ощутимый ущербпользователям программы HeadSetup. В том числе бывшим, учитывая, что сертификатсохранялся в системе».
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
Хайтек в России меньше чем хайтек | 13.62 | Среда, 03 августа 2022 |
Компания ESET сообщила о ворующем банковские пароли Android-приложении | 13.47 | Вторник, 25 апреля 2017 |
15% россиян хранят на гаджетах банковские пароли и PIN-коды кредитных карт | 13.47 | Понедельник, 24 декабря 2018 |
Нам нужны ваши деньги: как мошенники крадут банковские аккаунты и можно ли их поймать | 11.75 | Понедельник, 29 мая 2023 |
Нам нужны ваши деньги: как мошенники крадут банковские аккаунты и можно ли их поймать | 11.75 | Понедельник, 29 мая 2023 |
Ю.Грымов: я мечтаю, чтобы ТВ жило на деньги зрителя | 11.21 | Среда, 11 ноября 2015 |
Мошенники предлагают оценить отели, чтобы украсть деньги | 11.09 | Вторник, 20 июня 2023 |
Минкомсвязи установило «Иннополису» фиктивные показатели, чтобы не пришлось возвращать деньги | 10.86 | Пятница, 20 ноября 2015 |
Изгнанный с должности глава компании Qualcomm ищет деньги, чтобы ее купить | 10.86 | Пятница, 16 марта 2018 |
Спортивные бренды инвестируют в хайтек | 9.79 | Вторник, 30 июня 2020 |