Wie heise.de in einem aktuellen Artikel berichtet scheint die HeadSetup-Software von Sennheiser nicht gerade sicher zu sein. Die Software hinterlegt in Windows Root-Zertifikate mitsamt einem privaten Schlüssel. Das könnten Angreifer missbrauchen.
Sicherheitsforscher von Secorvo haben das Tool von Sennheiser unter die Lupe genommen, und massive Sicherheitslücken festgestellt. Wie im Artikel von heise.de erklärt wird, ist es vorstellbar, dass sich ein Server eines Angreifers als google.com ausgibt. Im Browser eines Opfers erscheint neben der Adresse das Schloss, welches eine vertrauenswürdige Verbindung signalisiert. In der verschlüsselten HTTPS-Verbindung steckt jedoch der Angreifer und schneidet alles mit.
Folgende Sennheiser Produkte sind betroffen:
– DW/SD Serie
– D 10 Serie
– Circle™ Serie
– Culture™ Serie
– Century™ Serie
– PRESENCE™ Mobile Serie
– Mobile Business Pro Serie
– BTD 800 USB
– BTD 500 USB
– Speakerphone Serie
– CEHS-CI 02
– MB 110
Sennheiser bietet auf seiner Internetseite Downloads an, die diese Sicherheitslücke schliessen sollen. heise.de meint aber zu diesem Service wörtlich: „Wirklich vertrauenswürdig wirkt das Ganze immer noch nicht.“
Wir bleiben dran, und informieren, wenn es Neuigkeiten zum Thema gibt.
Links / Quellen:
Artikel auf Heise.de – https://www.heise.de/security/meldung/Sennheiser-Software-spielt-Angreifern-maechtige-Werkzeuge-in-die-Haende-4217613.html
Secorvo.de Report: https://www.secorvo.de/publikationen/headsetup-vulnerability-report-secorvo-2018.pdf
Sennheiser Software Download: https://de-de.sennheiser.com/headset-software-pc
Olli C 
Bine