Aggiornamento: Sennheiser ricorda che il bug era relativo alla versione 7.3 di Headsetup, risolta con l’aggiornamento più recente dell’applicazione. L’azienda ricorda inoltre che il problema riguarda i prodotti delle categorie Offic, Call-Center e Speakerphones.

Se avete cuffie Sennheiser che usano il software Headsetup o Headsetup Pro dovreste aggiornarlo immediatamente, seguendo le istruzioni della pagina ufficiale. La società di security Secorvo ha infatti scoperto che il software ha una falla di sicurezza potenzialmente molto grave. La vulnerabilità è stata pubblicata con il codice CVE-2018-17612.

Il problema risiede in particolare nei certificati installati da Headsetup nella “cassaforte” Trusted Root CA di Windows (documentazione Microsoft).  I ricercatori di Socorvo hanno scoperto che i certificati Sennheiser non proteggono la firma digitale, che quindi è facile da copiare e riprodurre. Oltre al fatto che lo spazio in cui vengono salvati non è quello corretto.

Un eventuale malintenzionato potrebbe quindi mettere in pratica un attacco di tipo man in the middle tramite certification forgery, cioè firmare un falso certificato con i dati di Sennheiser e usarlo per spiare un computer e rubare informazioni. I ricercatori hanno dimostrato che è possibile estrarre e decifrare la chiave privata del certificato (SennCom CCCert.pem), e hanno scritto che “abbiamo scoperto che la chiave usata dall’azienda è molto simile all’identificatore dell’algoritmo, salvato in chiaro”. Una passphrase aggiuntiva era accessibile tramite il file di configurazione (WBCCServer.properties).

Successivamente è stato relativamente facile creare un falso certificato e usarlo per un sito web creato ad hoc. Il computer riconosce la connessione come sicura, e chi controlla il sito può manipolare la connessione senza problemi.

L’attacco riguarda solo gli utenti Sennheiser che hanno installato Headsetup, perché in questo caso Windows accetta i certificati come legittimi. Sennheiser ha modificato il software e Microsoft ha pubblicato una notifica, raccomandando di procedere con l’update. Il software si può scaricare direttamente da questo indirizzo, oppure visitando la pagina dedicata. Da notare che sola la rimozione del software non elimina il rischio, a meno di intervenire manualmente sui certificati.

L’errore di Sennheiser è grossomodo lo stesso in cui incappò Lenovo qualche anno fa (il caso Superfish) e che costò all’azienda cinese 3,5 milioni di dollari in sanzioni. Con l’importante differenza che Lenovo vende milioni di computer ogni anno, mentre le persone che usano questo software non sono poi molte – probabilmente nell’ordine delle decine di migliaia.

Per godersi musica, videogiochi e film al computer ci vogliono cuffie di qualità, come le HyperX Cloud Alpha.