Sennheiser software om je hoofdtelefoon aan te sluiten op macOS of Windows bevatte een kritieke bug. Een root-certificaat met een gelekte private key geeft hackers de vrijheid om je computer te hacken nadat ze jouw lokken naar een legitieme HTTPS-website.
Je zou niet verwachten dat software voor je (draadloze) hoofdtelefoon de veiligheid van je computer in het gedrang zou brengen. Sennheiser heeft daar helaas tegen gezondigd met HeadSetup en HeadSetup Pro die allebei een slecht root-certificaat bevatten volgens Engadget. Hackers kunnen legitieme HTTPS-websites opstellen en gebruikers in de val lokken.
De software is compatibel op Windows en macOS en helpt gebruikers om verbinding te maken met hoofdtelefoons, headsets of speakerphones van Sennheiser. Helaas bevat die software een root-certificaat met een gelekte private key.
Iedereen kan nu een ‘veilige’ website bouwen met hetzelfde certificaat en slachtoffers lokken. Sennheiser heeft namelijk het certificaat opgeslagen in het besturingssysteem zelf.
Superfish
Voor hackers is het nu kinderspel om een HTTPS-website te bouwen met hetzelfde certificaat. Je browser geeft weer dat het om een veilige website gaat, maar niets is minder waar. Onderzoeksbedrijf Secorvo, dat het lek heeft gevonden, heeft met dit certificaat een valse Google-website gemaakt die er helemaal legitiem uit ziet.
Valse Google HTTPS-website van securitybedrijf Secorvo.
Het ergste van allemaal is dat het certificaat na installatie vast in het besturingssysteem zit. De software verwijderen op macOS of Windows helpt niet. Sennheiser heeft ondertussen een update klaar dat het certificaat patcht en vervangt met een veilig alternatief, maar daarvoor moeten gebruikers expliciet de update downloaden en installeren over de oude versie. Er zit geen functie in de HeadSetup-software dat automatisch updates installeert.
De fout van Sennheiser heeft veel raakvlakken met de Superfish-bug van Lenovo in 2015. Enig verschil daarin is dat Lenovo de software vooraf installeerde op nieuwe pc’s waardoor de schaal veel groter was. Lenovo heeft uiteindelijk een boete van 3,5 miljoen dollar moeten betalen voor Superfish. Sennheiser is mogelijk ook hetzelfde lot beschoren.