Специалист компании RSA Кент Бэкман (Kent Backman) обнаружил, что USB аудио драйверы популярного производителя Savitech поставляются с корневыми сертификатами, которые автоматически устанавливаются в хранилище доверенных корневых сертификатов Windows.

Стоит отметить, что компания Savitech производит драйверы для множества аудио- и видеоустройств. Бэкман пишет, что кореневые сертификаты были обнаружены именно в комплекте с USB аудио драйвером компании, и его используют такие производители, как AsusTek, EMC, Intos и Creek Audio.

Представители Savitech не стали отрицать очевидное и уже признали свою ошибку. В компании объяснили, что корневые сертификаты были добавлены для нормальной работы подписи драйверов на машинах с Windows XP. Так как для других ОС данная мера не требуется, в Savitech приняли решение вообще отказаться от поддержки Windows XP.

«Мы удалили код, устанавливающий сертификат Savitech, из нашего ПО после релиза v2.8.0.3, вышедшего 31 марта 2017 года», — говорят представители компании.

Хотя новая версия USB аудио драйвера компании действительно не добавляет в систему корневой сертификат, уже установленный она тоже не удаляет.  Этим придется озаботиться самим пользователям. Найти и удалить понадобится два нижеописанных сертификата; о том, как это сделать, можно почитать здесь.

SaviAudio корневой сертификат №1

  • ‎Срок действия: Thursday, ‎May ‎31, ‎2012 — ‎Tuesday, ‎December ‎30, ‎2036
  • Серийный номер: 579885da6f791eb24de819bb2c0eeff0
  • Thumbprint: cb34ebad73791c1399cb62bda51c91072ac5b050

SaviAudio корневой сертификат №2

  • Срок действия: ‎Thursday, ‎December ‎31, ‎2015 — ‎Tuesday, ‎December ‎30, ‎2036
  • Серийный номер: ‎972ed9bce72451bb4bd78bfc0d8b343c
  • Thumbprint: 23e50cd42214d6252d65052c2a1a591173daace5

В настоящее время непосредственной опасности для пользователей нет, однако таковая может возникнуть, к примеру, если некая третья сторона скомпрометирует приватный ключ Savitech к любой из версий сертификата. Ранее похожую ситуацию уже можно было наблюдать на примере компании Lenovo, которая так же поставляла свои устройства с корневыми сертификатами, потом ключ оказался скомпрометирован, и HTTPS-трафик миллионов пользователей оказался под ударом. Напомню, что в итоге Федеральная торговая комиссия США оштрафовала компанию на 3,5 млн долларов.



2 комментария

  1. growpenny

    04.11.2017 at 08:32

    Очень грязная работа компании-производителя. При таком косяке производитель просто обязан в следующей версии драйвера удалить опасный сертификат, установленный этим же производителем ранее.

  2. john_

    16.11.2017 at 14:16

    БЭКМАААААААН 🤪

Оставить мнение