Специалист компании RSA Кент Бэкман (Kent Backman) обнаружил, что USB аудио драйверы популярного производителя Savitech поставляются с корневыми сертификатами, которые автоматически устанавливаются в хранилище доверенных корневых сертификатов Windows.
Стоит отметить, что компания Savitech производит драйверы для множества аудио- и видеоустройств. Бэкман пишет, что кореневые сертификаты были обнаружены именно в комплекте с USB аудио драйвером компании, и его используют такие производители, как AsusTek, EMC, Intos и Creek Audio.
Представители Savitech не стали отрицать очевидное и уже признали свою ошибку. В компании объяснили, что корневые сертификаты были добавлены для нормальной работы подписи драйверов на машинах с Windows XP. Так как для других ОС данная мера не требуется, в Savitech приняли решение вообще отказаться от поддержки Windows XP.
«Мы удалили код, устанавливающий сертификат Savitech, из нашего ПО после релиза v2.8.0.3, вышедшего 31 марта 2017 года», — говорят представители компании.
Хотя новая версия USB аудио драйвера компании действительно не добавляет в систему корневой сертификат, уже установленный она тоже не удаляет. Этим придется озаботиться самим пользователям. Найти и удалить понадобится два нижеописанных сертификата; о том, как это сделать, можно почитать здесь.
SaviAudio корневой сертификат №1
- Срок действия: Thursday, May 31, 2012 - Tuesday, December 30, 2036
- Серийный номер: 579885da6f791eb24de819bb2c0eeff0
- Thumbprint: cb34ebad73791c1399cb62bda51c91072ac5b050
SaviAudio корневой сертификат №2
- Срок действия: Thursday, December 31, 2015 - Tuesday, December 30, 2036
- Серийный номер: 972ed9bce72451bb4bd78bfc0d8b343c
- Thumbprint: 23e50cd42214d6252d65052c2a1a591173daace5
В настоящее время непосредственной опасности для пользователей нет, однако таковая может возникнуть, к примеру, если некая третья сторона скомпрометирует приватный ключ Savitech к любой из версий сертификата. Ранее похожую ситуацию уже можно было наблюдать на примере компании Lenovo, которая так же поставляла свои устройства с корневыми сертификатами, потом ключ оказался скомпрометирован, и HTTPS-трафик миллионов пользователей оказался под ударом. Напомню, что в итоге Федеральная торговая комиссия США оштрафовала компанию на 3,5 млн долларов.