Comparisons Brawte nfaq 0 Comments

オーマイコード!ゼンハイザー、HTTPS証明書で大失敗

Table of Contents

オーマイコード!ゼンハイザー、HTTPS証明書で大失敗

ヘッドフォンメーカーのゼンハイザーは、顧客のセキュリティを侵害していたことが発覚し、責任を問われている。

ベンダーのHeadsetupおよびHeadsetup Proアプリケーションは、WindowsおよびMacコンピュータにルート証明書とその秘密鍵の両方をインストールします。これらの鍵は、例えば悪意のある人物がユーザーの暗号化されたHTTPSウェブブラウジングを傍受して復号化するために利用される可能性があります。つまり、Headsetupソフトウェアをインストールすると、ウェブ接続の盗聴や改ざん、パスワードなどの機密情報の盗難といった危険にさらされることになります。

Secorvo Security Consulting が今週発表したレポート [PDF] に、この失態の詳細が記載されています。

Headsetupは、ボイスチャットサイトと高級ゼンハイザー製ヘッドセットを接続するツールだそうです。このソフトウェアは信頼されたルート証明書をインストールし、それを使ってローカルのセキュアWebソケットを開きます。ブラウザ上のウェブサイトは、このソケットを通じてHTTPS経由でこの高級ヘッドフォンにアクセスできるようになります。このセキュアリンクは、インストールされたルート証明書にチェーンされたTLS証明書を使用します。

すぐに: Adob​​e が PGP の秘密鍵をインターネット上に公開しました

続きを読む

これは、最新のブラウザが導入したクロスオリジンリソース共有ルールに違反しないよう、必須だと言われています。Webソケットは予約済みのIPアドレス(127.0.0.1、つまりlocalhost)に割り当てる必要があるため、カスタム証明書が必要です。そこでHeadsetupはWebソケットを開き、インストール済みの信頼されたルート証明書にチェーンされたHTTPS証明書を提示します。ブラウザはインストール済みのルート証明書を使用してソケットの証明書の正当性を確認し、接続を開始します。

研究者たちが懸念しているのは、証明書と鍵の両方がマシン上に存在することで、攻撃者が鍵(すべてのインストールに共通)を再利用し、他のウェブサイト用の任意のHTTPS証明書を作成し、インストール済みの信頼されたルートセキュリティ証明書に偽の証明書が連鎖しているため、Headsetupユーザーに信頼させることができる点です。これはまた、傍受されたSSL/TLS接続を復号化し、マルウェアにデジタル署名を施して正規のソフトウェアとして信頼させることも可能になることを意味します。これは、意欲的なハッカーにとってまさに天敵です。

「重大な実装上の欠陥により、秘密裏に埋め込まれたルート証明書の1つに搭載された秘密署名鍵が攻撃者によって容易に取得可能であることが判明しました。これにより、攻撃者は技術的に信頼できる証明書に署名し、発行することが可能になります」とセコルボ氏は説明した。

「この実装バグの影響を受けるユーザーは、このような証明書偽造の被害者になる可能性があり、攻撃者は、例えば信頼できる署名付きソフトウェアを送信したり、Sennheiser によって承認された権限として行動したりできるようになります。」

ゼンハイザー オルフェウス ヘッドフォンとアンプ

ゼンハイザーが5万ユーロのヘッドフォンを発表(確認済み、誤字なし)

続きを読む

例えば、攻撃者は銀行やショッピングサイトを装った悪質なパスワード窃取ウェブサイトを作成し、ゼンハイザーのヘッドセットユーザーが頻繁に利用するサポートフォーラムにそのウェブサイトへのリンクを掲載する可能性があります。ヘッドセットユーザーが偽のページにアクセスすると、サイトはヘッドセットアップのルート証明書にチェーンされたHTTPS証明書を提示し、正規の安全なウェブサイトを装います。偽サイトはユーザー名とパスワードの入力を求め、「続行するにはログインしてください」といったメッセージを表示し、認証情報を盗み取ってから本物のサイトにリダイレクトします。そのためには、偽サイトにはstore.amazom.comのような巧妙に作成されたドメイン名が必要です。

しかし、ハッカーが被害者のDNSルックアップを制御できる場合、偽のウェブサイトは、見慣れたドメイン名を使用し、安全であることを示す小さな緑色の南京錠アイコンを表示することで、より本物らしく見えるように見せかけることができます。MIDI(いや、中間者攻撃)は、ルート証明書と鍵を使用して、正規のウェブサイトへのHTTPS接続を傍受し、その場で復号化することも可能です。このような悪質な行為を軽減するための予防策を講じることは可能です。

しかし全体として、ゼンハイザーの顧客が差し迫った危険にさらされていなかったとしても、セキュリティに対するこの粗雑なアプローチは見栄えがよくありません。

幸いなことに、ゼンハイザーはすでに証明書とキーを削除することで問題を修正するアップデートを公開しています。現在、ソフトウェアはゼンハイザーのみが非公開でコピーを保管しているキーに依存しています。

Windowsユーザーの場合、更新されたHeadsetupのバージョンは8.1.6114です。Macユーザーはバージョン5.3.7011にアップデートしてください。アップデートをインストールできないユーザーには、脆弱な暗号を削除する削除スクリプトが提供されています。®

Comparisons

Smart Recommendations

Discover More