Poderá parecer algo saído de um filme ou série de ficção, mas a instalação de software relacionado com headphones da Sennheiser poderia fazer com que um atacante pudesse espiar todo o seu tráfego HTTPS.
Noutros tempos, utilizar um headphone ou headset era algo que implicava ligar apenas uma pequena ficha de 3.5mm ao computador e não ter que pensar em software, drivers, e ainda menos o risco disso poder comprometer todo o seu sistema. Infelizmente os tempos que correm são outros.
Headphone software made by Sennheiser has been installing a root certificate, plus the private key, onto people's computers: https://t.co/9VMNDcLslc— Andrew Ayer (@__agwa) November 27, 2018
Like Superfish, anyone can use this key, which is the same on all installations, to forge certificates and impersonate websites.
O software dos headsets da Sennheiser instalava um certificado de segurança vulnerável nos computadores dos utilizadores, abrindo as portas para que outros atacantes pudessem espiar as comunicações "supostamente seguras" HTTPS, direccionar os utilizadores para páginas de phishing que apareceriam como sendo fidedignas, ou apresentar software malicioso que apareceria como sendo certificado por empresas de confiança.
A (não) ajudar, estava o facto de que a desinstalação do software não removia o certificado em questão do computador dos utilizadores, continuando a deixá-los expostos aos mesmos riscos.
... Será que um destes dias ainda teremos algum fabricante a anunciar uma nova ficha de ligação de headphones por cabo, como forma de garantir a segurança dos mesmos? ;P
Sabem se o problema se estende às apps android da Sennheiser?
ResponderEliminar