Специалист компании RSA Кент Бэкман (Kent Backman) обнаружил, что USB аудио драйверы популярного производителя Savitech поставляются с корневыми сертификатами, которые автоматически устанавливаются в хранилище доверенных корневых сертификатов Windows.

Стоит отметить, что компания Savitech производит драйверы для множества аудио- и видеоустройств. Бэкман пишет, что кореневые сертификаты были обнаружены именно в комплекте с USB аудио драйвером компании, и его используют такие производители, как AsusTek, EMC, Intos и Creek Audio.

Представители Savitech не стали отрицать очевидное и уже признали свою ошибку. В компании объяснили, что корневые сертификаты были добавлены для нормальной работы подписи драйверов на машинах с Windows XP. Так как для других ОС данная мера не требуется, в Savitech приняли решение вообще отказаться от поддержки Windows XP.

«Мы удалили код, устанавливающий сертификат Savitech, из нашего ПО после релиза v2.8.0.3, вышедшего 31 марта 2017 года», — говорят представители компании.

Хотя новая версия USB аудио драйвера компании действительно не добавляет в систему корневой сертификат, уже установленный она тоже не удаляет.  Этим придется озаботиться самим пользователям. Найти и удалить понадобится два нижеописанных сертификата; о том, как это сделать, можно почитать здесь.

SaviAudio корневой сертификат №1

  • ‎Срок действия: Thursday, ‎May ‎31, ‎2012 - ‎Tuesday, ‎December ‎30, ‎2036
  • Серийный номер: 579885da6f791eb24de819bb2c0eeff0
  • Thumbprint: cb34ebad73791c1399cb62bda51c91072ac5b050

SaviAudio корневой сертификат №2

  • Срок действия: ‎Thursday, ‎December ‎31, ‎2015 - ‎Tuesday, ‎December ‎30, ‎2036
  • Серийный номер: ‎972ed9bce72451bb4bd78bfc0d8b343c
  • Thumbprint: 23e50cd42214d6252d65052c2a1a591173daace5

В настоящее время непосредственной опасности для пользователей нет, однако таковая может возникнуть, к примеру, если некая третья сторона скомпрометирует приватный ключ Savitech к любой из версий сертификата. Ранее похожую ситуацию уже можно было наблюдать на примере компании Lenovo, которая так же поставляла свои устройства с корневыми сертификатами, потом ключ оказался скомпрометирован, и HTTPS-трафик миллионов пользователей оказался под ударом. Напомню, что в итоге Федеральная торговая комиссия США оштрафовала компанию на 3,5 млн долларов.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    2 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии