image/svg+xml
Logo Tom's Hardware
  • Hardware
  • Videogiochi
  • Mobile
  • Elettronica
  • EV
  • Scienze
  • B2B
  • Quiz
  • Tom's Hardware Logo
  • Hardware
  • Videogiochi
  • Mobile
  • Elettronica
  • EV
  • Scienze
  • B2B
  • Quiz
  • Forum
  • Sconti & Coupon
Sconti & Coupon
Accedi a Xenforo
Immagine di Roborock Q7 M5, robot aspirapolvere per chi vuole spendere poco | Test & Recensione Roborock Q7 M5, robot aspirapolvere per chi vuole spendere p...
Immagine di Shelly Gen4 e Plus: piccoli dispositivi ma grandi alleati per una casa smart Shelly Gen4 e Plus: piccoli dispositivi ma grandi alleati pe...

Il software delle cuffie Sennheiser diventa un trojan, correte ad aggiornare

L'analisi di una società di sicurezza rivela rischi di sicurezza legati al software di controllo Sennheiser.

Advertisement

Quando acquisti tramite i link sul nostro sito, potremmo guadagnare una commissione di affiliazione. Scopri di più
Avatar di Valerio Porcu

a cura di Valerio Porcu

Senior Editor

Pubblicato il 29/11/2018 alle 15:08 - Aggiornato il 05/12/2018 alle 15:00

Aggiornamento: Sennheiser ricorda che il bug era relativo alla versione 7.3 di Headsetup, risolta con l'aggiornamento più recente dell'applicazione. L'azienda ricorda inoltre che il problema riguarda i prodotti delle categorie Offic, Call-Center e Speakerphones.

Se avete cuffie Sennheiser che usano il software Headsetup o Headsetup Pro dovreste aggiornarlo immediatamente, seguendo le istruzioni della pagina ufficiale. La società di security Secorvo ha infatti scoperto che il software ha una falla di sicurezza potenzialmente molto grave. La vulnerabilità è stata pubblicata con il codice CVE-2018-17612.

Il problema risiede in particolare nei certificati installati da Headsetup nella "cassaforte" Trusted Root CA di Windows (documentazione Microsoft).  I ricercatori di Socorvo hanno scoperto che i certificati Sennheiser non proteggono la firma digitale, che quindi è facile da copiare e riprodurre. Oltre al fatto che lo spazio in cui vengono salvati non è quello corretto.

Un eventuale malintenzionato potrebbe quindi mettere in pratica un attacco di tipo man in the middle tramite certification forgery, cioè firmare un falso certificato con i dati di Sennheiser e usarlo per spiare un computer e rubare informazioni. I ricercatori hanno dimostrato che è possibile estrarre e decifrare la chiave privata del certificato (SennCom CCCert.pem), e hanno scritto che "abbiamo scoperto che la chiave usata dall'azienda è molto simile all'identificatore dell'algoritmo, salvato in chiaro". Una passphrase aggiuntiva era accessibile tramite il file di configurazione (WBCCServer.properties).

Successivamente è stato relativamente facile creare un falso certificato e usarlo per un sito web creato ad hoc. Il computer riconosce la connessione come sicura, e chi controlla il sito può manipolare la connessione senza problemi.

sennheiser-office-9637.jpg

L'attacco riguarda solo gli utenti Sennheiser che hanno installato Headsetup, perché in questo caso Windows accetta i certificati come legittimi. Sennheiser ha modificato il software e Microsoft ha pubblicato una notifica, raccomandando di procedere con l'update. Il software si può scaricare direttamente da questo indirizzo, oppure visitando la pagina dedicata. Da notare che sola la rimozione del software non elimina il rischio, a meno di intervenire manualmente sui certificati.

L'errore di Sennheiser è grossomodo lo stesso in cui incappò Lenovo qualche anno fa (il caso Superfish) e che costò all'azienda cinese 3,5 milioni di dollari in sanzioni. Con l'importante differenza che Lenovo vende milioni di computer ogni anno, mentre le persone che usano questo software non sono poi molte – probabilmente nell'ordine delle decine di migliaia.

Per godersi musica, videogiochi e film al computer ci vogliono cuffie di qualità, come le HyperX Cloud Alpha.
Leggi altri articoli

👋 Partecipa alla discussione! Scopri le ultime novità che abbiamo riservato per te!

0 Commenti

⚠️ Stai commentando come Ospite . Vuoi accedere?


Questa funzionalità è attualmente in beta, se trovi qualche errore segnalacelo.

Segui questa discussione
Advertisement

Non perdere gli ultimi aggiornamenti

Newsletter Telegram

I più letti di oggi


  • #1
    Blocco diesel Euro 5 Nord Italia: tutto quello che c'è da sapere
  • #2
    Uso della VRAM ridotto all'osso con la nuova versione del DLSS
  • #3
    Uno YouTuber ha acquistato uno dei marchi più famosi del retrogaming
  • #4
    Questa è la tech che salverà le schede video da 8GB
  • #5
    Amazon Prime Day, quand'è, quanto dura e come trovare le offerte migliori
  • #6
    Helldivers 2 trasforma le recensioni negative in DLC
Articolo 1 di 5
Shelly Gen4 e Plus: piccoli dispositivi ma grandi alleati per una casa smart
Sono arrivati i nuovi Shelly Gen4: soluzioni smart con controllo dei consumi per una casa intelligente come mai prima d’ora.
Immagine di Shelly Gen4 e Plus: piccoli dispositivi ma grandi alleati per una casa smart
Leggi questo articolo
Articolo 2 di 5
Roborock Q7 M5, robot aspirapolvere per chi vuole spendere poco | Test & Recensione
Un robot con aspirazione potente e navigazione LiDAR che offre un buon compromesso tra funzionalità avanzate e prezzo accessibile.
Immagine di Roborock Q7 M5, robot aspirapolvere per chi vuole spendere poco | Test & Recensione
Leggi questo articolo
Articolo 3 di 5
Crea un’oasi zen con LEGO Botanicals: PREZZI SHOCK su Amazon!
Aggiungi l’eleganza senza tempo dell’albicocco giapponese o delle rose al tuo spazio a meno di 50€, ma affrettati: promozione limitata!
Immagine di Crea un’oasi zen con LEGO Botanicals: PREZZI SHOCK su Amazon!
Leggi questo articolo
Articolo 4 di 5
Da oggi bollette più facili da leggere: come funziona lo “scontrino dell’energia"
Dal 1° luglio arriva il nuovo formato delle bollette energetiche: più chiare, trasparenti e con frontespizio standardizzato per tutti i fornitori.
Immagine di Da oggi bollette più facili da leggere: come funziona lo “scontrino dell’energia"
1
Leggi questo articolo
Articolo 5 di 5
Il phon giusto può cambiare la giornata, anche quando fuori ci sono 40°
Durante le calde giornate estive, può capitare di voler asciugare i capelli all’aria aperta, ma con questo asciugacapelli non vorrete più farlo.
Immagine di Il phon giusto può cambiare la giornata, anche quando fuori ci sono 40°
Leggi questo articolo
Advertisement
Advertisement

Advertisement

Footer
Tom's Hardware Logo

 
Contatti
  • Contattaci
  • Feed RSS
Legale
  • Chi siamo
  • Privacy
  • Cookie
  • Affiliazione Commerciale
Altri link
  • Forum
Il Network 3Labs Network Logo
  • Tom's Hardware
  • SpazioGames
  • CulturaPop
  • Data4Biz
  • TechRadar
  • SosHomeGarden
  • Aibay

Tom's Hardware - Testata giornalistica associata all'USPI Unione Stampa Periodica Italiana, registrata presso il Tribunale di Milano, nr. 285 del 9/9/2013 - Direttore: Andrea Ferrario

3LABS S.R.L. • Via Pietro Paleocapa 1 - Milano (MI) 20121
CF/P.IVA: 04146420965 - REA: MI - 1729249 - Capitale Sociale: 10.000 euro

© 2025 3Labs Srl. Tutti i diritti riservati.