Nieuws
image

Bluetooth-driver Lenovo/CSR installeert rootcertificaat

maandag 14 december 2015, 14:40 door Redactie, 6 reacties

Een driver voor Bluetooth-chips van fabrikant CSR, die ook door Lenovo wordt gebruikt, blijkt een rootcertificaat op computers te installeren. Een aanvaller die over de privésleutel van het rootcertificaat beschikt kan hierdoor in theorie HTTPS-verbindingen van gebruikers afluisteren.

Dat meldt onderzoeker Hanno Bock. Het blijkt om een testcertificaat te gaan dat onbedoeld aan de driver is toegevoegd. Lenovo biedt op de eigen website een Bluetooth-driver met het betreffende certificaat aan. Bock stelt dat het incident weg heeft van het Superfish-debacle waar Lenovo eerder dit jaar mee te maken kreeg, alleen bevat het rootcertificaat dit keer geen privésleutels, waardoor de impact kleiner is. Toch is het toevoegen van het rootcertificaat een beveiligingsrisico, aldus de onderzoeker.

CSR werd in augustus van dit jaar door Qualcomm overgenomen. Het bedrijf laat in een reactie weten dat bij de ontwikkeling van de driver een testcertificaat was gebruikt. Block denkt dat CSR aan hardwarefabrikanten zoals Lenovo een versie van de driver heeft gegeven die eigenlijk nog in ontwikkeling was, inclusief het testcertificaat. De onderzoeker merkt op dat het niet ongewoon is dat tijdens de ontwikkelfase er lokaal testcertificaten worden gebruikt, maar dat die in de uiteindelijke versie moeten worden verwijderd. Lenovo heeft vragen van Bock niet beantwoord. Ook wordt de driver in kwestie nog steeds aangeboden.

Reacties (6)
14-12-2015, 16:26 door Anoniem
Goh..
14-12-2015, 16:47 door falcon518
Het zal Lenovo weer eens niet zijn.
15-12-2015, 08:01 door Anoniem
Door falcon518: Het zal Lenovo weer eens niet zijn.
Ja maar soms wordt je in de handen van Lenovo gedreven.
Ik heb een eenvoudige Acer laptop en die is ge-upgrade naar W 10.
De Acer laptop heeft Dolby advanced surround. Iedereen heeft een nieuwe driver geschikt voor W 10.
Maan Acer "natuurlijk" niet. Je wordt wel naar hun site gedirigeerd maar daar zoek je je tevergeefs het lazarus want hij staat daar echt niet. En wereld wijd zijn er mensen die tevergeefs zoeken.
Wat blijkt nu; dat tegen het advies van Dolby in je de driver van Lenovo kunt downloaden op je Acer en dat die uit de kunst werkt. Hij zichzelf zelfs aanpast aan je Acer. Optimized for Acer verschijnt er zelfs keurig in het display van Dolby.

Dus wat wil je nou meer. Een werkende laptop toch?
15-12-2015, 09:25 door Anoniem
Door falcon518: Het zal Lenovo weer eens niet zijn.
Ze maken goede hardware (was vroeger IBM), maar bij mij komt er geen Lenovo in huis. Ze blijven continu dubieuze componenten uitleveren met hun PC's.
15-12-2015, 11:19 door Anoniem
Is er ook ergens een lijst om in te zien welke modellen kwetsbaar zijn?
23-12-2015, 17:42 door Anoniem
Wat ik niet begrijp is dat wanneer ik de link volg uit dit artikel, dat er op de originele site een root checker wordt geadviseerd die een virus bevat...
Wat is daarmee de waarde van de vondst van deze Hanno?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search