Sennheiserin sovellus saattaa altistaa käyttäjänsä kyberhyökkäyksille

null

Sennheiserin huippumallien kuulokkeille tehdystä sovelluksesta on löytynyt vakavia tietoturvaongelmia, joiden vuoksi hakkerit saattavat päästä käsiksi käyttäjien henkilötietoihin.

Turvallisuuskonsultointipalveluita tarjoavan Secorvon satunnaistarkastuksessa ilmeni, että Sennheiserin HeadSetup- ja HeadSetup Pro -sovellukset asensivat juurisertifikaatin luotettuihin CA-sertifikaatteihin ilman yksilöityä avainta.

Koska käytetty avain ei ole yksilöllinen, periaatteessa kuka tahansa avaimen hakkeroinut taho pääsisi käsiksi lukuisten muidenkin käyttäjien järjestelmiin. Tällä tavalla se voisi esimerkiksi tehdä valeverkkosivun, joka pyytää käyttäjien henkilötietoja.

Vielä huolestuttavampaa on se, ettei pelkkä ohjelman poistaminen riitä poistamaan juurta luotettujen juurten listalta. Kuka tahansa ohjelman joskus asentanut on kuuluu siis riskiryhmään.

Sennheiser julkaisi onneksi päivityksen, joka korjaa ongelman. Yhtiö kehottaa sekä nykyisiä että entisiä HeadSetupin käyttäjiä asentamaan päivityksen riippumatta siitä, onko ohjelma jo poistettu.

Jos siis olet joskus käyttänyt kyseistä ohjelmaa PC:llä tai Macillasi, kehotamme lataamaan päivityksen viipymättä.