Selvsignerede rodcertifikater bringer Dell-brugere i fare

Laptopmodeller fra Dell er udstyret med et ureglementeret rodcertifikat med en tilhørende nøgle, der kan muliggøre man-in-the-middle-angreb.

Husker du Lenovo og Superfish? Nu viser det sig at også Dell kan have sat sine kunders sikkerhed over styr med brug af et ikke videre godt beskyttet rodcertifikat på firmaets laptops.

Det fortæller flere medier, herunder The Verge.

Det var programmøren Joe Nord, der oprindeligt gjorde opmærksom på det selvsignerede rod-certifikat eDellRoot. Det er lykkedes ham at få fat i den private nøgle til certifikatet, da nøglen ligger på maskinen sammen med det selvsignerede certifikat.

Nord testede på en XPS 15 laptop. Brugere skulle også have fundet certifikatet på Inspiron 5000, og The Verge har opdaget det på en XPS 13, hvilket får mediet til at overveje, om det kan ligge på en betragtelig del af Dells maskiner.

På Reddit skriver brugeren rotorcowboy, at man kan teste, om man har certifikatet ved - på en Windows-maskine - at gå til:
Start -> type "certmgr.msc" -> (accept on UAC prompt) -> Trusted Root Certification Authorities -> Certificates

Og så se om der står eDellRoot.

Læs også: Adware på Lenovo-maskiner kan misbruges af hackere til man-in-the-middle angreb

På Reddit har brugere efter sigende brokket sig over, at oplysningerne fra Dell-computeren ikke kan bruges til at signere server-certifikater med. Og altså dermed lave et man-in-the-middle angreb, der viser den grønne hængelås i netbanken, selvom brugeren befinder sig på ondhacker.com

Den kritik afviser rotorcowboy imidlertid med et screenshot, der skulle vise et certifikat for *.google.com, men som er signeret med oplysningerne fisket ud af Dell-maskinen.

Darren Kemp fra DuoSecurity siger ifølge The Verge, at problemet kan være mere komplekst end som så. Han fortæller, at der er mere end et eDellRoot-thumbprint og mindst ét andet suspekt rod-certifikat på den Dell Inspiron 14 laptop, DuoSecurity har kigget på. Og også her var det uden større besvær muligt at få fat i signeringsnøglen.

Over for nyhedsbureauet Reuters har Dell bekræftet, at den er gal.

»Den nyligt opståede situation er relateret til et on-the-box-support-certifikat, der er beregnet til at skulle kunne give en bedre, hurtigere og nemmere oplevelse af kundeservice,« oplyser Dell til Reuters.

Virksomheden har ikke ønsket at oplyse, hvor mange computere der er berørt. Udrulningen af softwaren med de risikofyldte certifikater skulle være startet i august. Fremtidige systemer fra Dell vil ifølge virksomheden ikke indeholde fejlen. Dell vil nu tilbyde kunder at komme af med certifikaterne via mail og dets support-site. Og ifølge et blogindlæg på Wall Street Journals hjemmeside er virksomheden også ved at udvikle en sikkerhedsopdatering, der skulle løse problemet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere