شرکت مایکروسافت امروز یک توصیه امنیتی منتشر کرد و توضیح داد دو اپلیکیشن کاربردی به صورت تصادفی دو گواهینامه را روی رایانههای کاربران نصب میکنند و سپس به اطلاعات و کلدیهای خصوصی آنها را دسترسی پیدا میکنند.
منظور مایکروسافت از نصب اشتباه و تصادفی گواهیهای نرمافزاری این است که طی این اتفاق کدهای مخرب شرکتهای توسعه دهنده نرمافزار میتواند اطلاعات شخصی کاربران را از طریق این دو اپلیکیشن به سرقت ببرد و از آنها استفاده کند. این گواهیهای جعلی برای گمراه کردن سایتهای اینترنتی مشروع وناشران نرمافزاری مورد استفاده قرار میگیرند.
دو اپلیکیشن مذکور با نامهای HeadSetup و HeadSetup Pro شناخته میشوند که هر دوی آنها در یک شرکت آلمانی توسعه دهنده نرمافزار موسوم به Sennheiser ساخته شدهاند. این اپلیکیشنها به منظور راهاندازی و مدیریت خود از نرمافزار softphones استفاده میکنند. این نرمافزار برای برقراری تماسهای تلفنی از طریق اینترنت و رایانه مورد استفاده قرار میگیرد و طی آن کاربر به دستگاه سختافزاری تلفن نیاز ندارد.
مشکل مربوط به دو اپلیکیشن HeadSetup اوایل سال جاری پس از آن مشخص شد که یک شرکت آلمانی فعال در حوزه امنیت سایبری به نام Secorvo متوجه شد که نسخههای ۷٫۳، ۷٫۴ و ۸٫۰ گواهی نرمافزاری Certification Authority مشکلاتی را به وجود میآورد.
منبع: ZDnet