Приложения HeadSetup и HeadSetup Pro от Sennheiser из-за ошибки разработчика содержали корневые сертификаты, которые позволяли злоумышленникам получать доступ к приватным ключам и использовать их для подделки сертификатов. Об этом сообщает Ars Technica со ссылкой на исследование экспертов Secorovo. По данным компании, уязвимость наблюдается на компьютерах под управлением как Windows, так и macOS, увеличивая потенциальную аудиторию жертв мошенников.
Как отмечают исследователи Secorovo, в ходе распаковки файлов приложения устанавливали на устройства пользователей два корневых сертификата, а также сохраняли ключи безопасности в файле SennComCCKey.pem. А поскольку фактически ключи хранились в открытом виде, то для злоумышленников не представляло сложности получить к ним доступ и, следовательно, начать свою деструктивную деятельность в отношении своих жертв.
Надо признать, что пользователи Mac пострадали от ошибки разработчиков Sennheiser сильнее, чем их коллеги, владеющие устройствами под управлением Windows. Если последние могли вручную удалить сертификаты, то первые оказались такой возможности лишены. Поэтому единственный способ избавиться от компрометирующих компонентов — ждать, пока истечет срок действия сертификатов в 2027 и 2037 году либо установить обновление, исправляющее допущенную погрешность.
Разработчики компании Sennheiser признали существование проблемы и пообещали устранить ее в самые кратчайшие сроки. По их словам, предстоящее обновление фирменных приложений, которое выйдет уже до начала следующей недели, будет автоматически удалять с затронутых устройств корневые сертификаты. Вместо них будут внедряться новые, которые гарантированно не допустят даже малейшей вероятности утечки ключей безопасности.
Обсудить эту и другие новости Apple можно в нашем Telegram-чате.
Читайте также
Последние новости