Tietoturva

Kuulokkeiden kylkiäisenä tuli tietoturvapommi

Julkaistu:

Haavoittuvuudet
Sennheiser-kuulokkeista paikattiin ongelma, joka salli nettisurffailun vakoilemisen ja tietojen varastamisen.
Joidenkin Sennheiser-kuulokkeiden mukana tullut HeadSetup- tai HeadSetup Pro -ohjelmisto sisälsi haavoittuvuuden, jonka avulla olisi ollut mahdollista seurata uhrin internetin käyttöä ja varastaa uhrin ja verkkosivun välillä liikkuneet tiedot. Asiasta kertovat muun muassa Bleeping Computer ja Gizmodo.

HeadSetup-ohjelmistot mahdollistavat Sennheiser-kuulokkeiden käyttämisen esimerkiksi Skypen kanssa. Jotta kuulokkeet toimisivat saumattomasti tietokoneissa, ohjelmisto asentaa tietokoneeseen eräänlaisen turvaleiman (sertifikaatti). Tätä leimaa käytetään avaimella, jonka salasana sijaitsi selväkielisenä helposti löydettävässä tiedostossa uhrin koneella. Salasana SennheiserCC ei sekään ollut kovin vahva.

Seurauksena hyökkääjä pystyi asettumaan uhrin ja tämän käyttämien verkkosivujen väliin varastaakseen esimerkiksi luottokorttitietoja tai pankkitunnuksia.

Tapausta on verrattu Lenovon taannoiseen SuperFish-skandaaliin. Koska sertifikaatti ja sen avain olivat samat kaikilla ohjelmiston käyttäjillä, hyökkääjän olisi ollut mahdollista luoda vääriä sertifikaatteja uhrin vakoilemiseksi haluamillaan verkkosivuilla.
Mainos (Teksti jatkuu alla)
Mainos päättyy
Tietoturvayhtiö Secorvon kesällä löytämä uhka on korjattu Windows-päivityksellä, ja Sennheiser on itsekin julkaissut paikkauksen, jos Microsoftin tekemää Windows-korjausta ei ole mahdollista asentaa – esimerkiksi Mac-käyttäjille.

Jos käytät Windowsia, mutta et jostain syystä saa Microsoftin automaattisia korjauksia, voit käyttää Sennheiser Updater -ohjelmaa Sennheiserin korjauksen asentamiseen. Jos Sennheiser Updater -ohjelmaa ei ole vielä asennettu, voi sen ladata täältä.

Kommentit

    Näytä lisää
    Kommentointi on päättynyt