Säkerhetsbrister finns i alla möjliga produkter och information om dessa uppdagas med jämna mellanrum. Något som ofta inte nämns i sammanhanget är dock mjukvara till exempelvis kringutrustning, vilka inte alltför sällan har olika brister som innebär en säkerhetsrisk.

Säkerhetsforskare hos tyska Secorvo upptäckte nyligen att Sennheisers Head Setup-mjukvara lade till ett eget rotcertifikat utan att användarna informerades om det. Rotcertifikatet gjorde att Sennheiser, rent teoretiskt, kunde utfärda egna certifikat för vilken webbplats som helst – inklusive webbplatser för banker och e-handelssidor.

De skulle således kunna sätta upp en falsk version av en webbplats, som webbläsaren på en dator med Head Setup hade litat blint på. Rotcertifikatets tillhörande privata nyckel lagrades också på alla datorer som Head Setup-mjukvaran installerades på, och med tillgång till den kunde bedragare träda in i Sennheisers roll och därmed generera egna certifikat för valfria webbplatser.

När användare besöker en webbplats, såsom sweclockers.com, visas ett hänglås i adressfältet. Det garanterar att denne befinner sig på webbplatsen som står i adressfältet och att informationen skickas och tas emot över en krypterad anslutning.

Detta är möjligt tack vare certifikatet som sweclockers.com har installerat. Det är utfärdat av Rapid SSL – ett företag som därigenom garanterar webbplatsens äkthet.

Rapid SSL:s certifikat är i sin tur är utfärdat av Digicert, ett av företagen som har sitt så kallade rotcertifikat installerat på användarnas datorer. Det innebär att Microsoft och Apple har valt att lita på Digicert, och de andra företagen, vars rotcertifikat ligger förinstallerade i Windows och Mac OS.

Secorvo har informerat Sennheiser om säkerhetsbristen, som har släppt en uppdatering som åtgärdar den. Alla som har haft Head Setup-mjukvaran på sin Windows-dator eller Mac bör installera uppdateringen eftersom rotcertifikatet annars ligger kvar på datorn, även om själva programmet avinstalleras.

Microsoft har även, i förebyggande syfte, klassat det berörda rotcertifikatet som opålitligt och uppdaterat Windows genom Windows Update.

Karl Emil Nikka är sakkunnig inom IT-säkerhetsfrågor på SweClockers och står bakom programserien "Så fungerar". Han driver dessutom utbildningsföretaget Nikka Systems med fokus på just IT-säkerhet och var dessförinnan press- och utbildningschef på Kjell & Company.