Bezpečnostní novinky

Máte sluchátka Sennheiser? Můžete být v ohrožení

Avast Security News Team, 26. prosince 2018

Sluchátka a reproduktory Sennheiser jsou kvůli bezpečnostnímu nedostatku v dodávaném softwaru zranitelné vůči phishingu a malwarovým infekcím, takže vám hrozí krádeže dat.

Když si k počítači pořídíte sluchátka špičkové značky, pravděpodobně se neobáváte, že by mohla být zneužitelná hackery. Pokud však vlastníte sluchátka Sennheiser, podle této zprávy byste se měli mít na pozoru.

Společně s drahými náhlavními soupravami Sennheiser je dodáván software HeadSetup, který zajišťuje funkčnost sluchátek a mikrofonu na počítačích s Windows i Mac. Když jsou sluchátka připojena k počítači, bezpečnostní chyba v programu HeadSetup umožňuje hackerům napodobovat a falšovat webové stránky. Pokud uživatel na falešných stránkách zadá jakékoli údaje (hesla, přihlašovací údaje, osobní údaje, nebo dokonce čísla platebních karet), tyto údaje mu mohou být snadno ukradeny a zneužity.

Výzkumní pracovníci Hans-Joachim Knobloch a Andre Domnick z německé firmy Secorvo Security Consulting, kteří tuto chybu zabezpečení objevili, tvrdí, že uživatel by si nekalé činnosti ve svém počítači jen stěží všiml. „Oběť by musela podrobně prozkoumat serverový certifikát HTTPS, respektive podpisový certifikát kódu, kde je uveden kořenový certifikát, k němuž je dotyčný certifikát připojen. V závislosti na aplikaci to vyžaduje dvě až pět dalších na první pohled zbytečných kliknutí na tlačítka a možnosti, které nejsou příliš známé. Dá se tedy předpokládat, že naprostá většina uživatelů takovou kontrolu dělat nebude.“

Bezpečnostní expert Avastu, Luis Corrons k tomu poznamenává: „Hackeři bohužel ví, že většina uživatelů nehledá sebemenší příznaky něčeho podezřelého. Vzhledem k tomu, že počet zařízení IoT neustále roste, by uživatelé měli proaktivně hledat a zavádět opatření, která je ochrání před nekalými praktikami.“

Sennheiser sice na nápravě bezpečnostní chyby v softwaru HeadSetup pracuje, ale zpráva společnosti Secorvo uvádí, že uživatelé dotčených náhlavních souprav by se měli mít na pozoru.

Konkrétně uvádí následující: „Jelikož certifikát není při aktualizaci ani odinstalaci softwaru odebrán z úložiště důvěryhodných kořenových certifikátů, každý systém, který byl někdy nainstalován software HeadSetup 7.3 (a každý uživatel takového systému) zůstává zranitelný“.

Společnost Sennheiser na své stránce podpory nabízí dočasnou opravu, dokud nebude k dispozici nová verze softwaru.