Bluetooth-driver Lenovo/CSR installeert rootcertificaat

[Captain Kirk]

Een driver voor Bluetooth-chips van fabrikant CSR, die ook door Lenovo wordt gebruikt, blijkt een rootcertificaat op computers te installeren. Een aanvaller die over de privésleutel van het rootcertificaat beschikt kan hierdoor in theorie HTTPS-verbindingen van gebruikers afluisteren.

Dat meldt onderzoeker Hanno Bock. Het blijkt om een testcertificaat te gaan dat onbedoeld aan de driver is toegevoegd. Lenovo biedt op de eigen website een Bluetooth-driver met het betreffende certificaat aan. Bock stelt dat het incident weg heeft van het Superfish-debacle waar Lenovo eerder dit jaar mee te maken kreeg, alleen bevat het rootcertificaat dit keer geen privésleutels, waardoor de impact kleiner is. Toch is het toevoegen van het rootcertificaat een beveiligingsrisico, aldus de onderzoeker.

CSR werd in augustus van dit jaar door Qualcomm overgenomen. Het bedrijf laat in een reactie weten dat bij de ontwikkeling van de driver een testcertificaat was gebruikt. Block denkt dat CSR aan hardwarefabrikanten zoals Lenovo een versie van de driver heeft gegeven die eigenlijk nog in ontwikkeling was, inclusief het testcertificaat. De onderzoeker merkt op dat het niet ongewoon is dat tijdens de ontwikkelfase er lokaal testcertificaten worden gebruikt, maar dat die in de uiteindelijke versie moeten worden verwijderd. Lenovo heeft vragen van Bock niet beantwoord. Ook wordt de driver in kwestie nog steeds aangeboden.

 

bron: security.nl