戴尔迅速采取行动修复了其电脑中的根级证书问题,这个问题与Superfish类似,因为它可能允许攻击者拦截加密的个人数据。
戴尔电脑被发现预装了eDellRoot证书和私钥,更糟的是,所有戴尔笔记本电脑都装有这种证书。
SANS技术研究院长Johannes Ullrich表示,eDellRoot证书作为受信任的根级证书颁发机构(CA),并且戴尔提供了密钥,这几乎允许任何人创建签名和验证的证书。
“我可以为Google.com创建证书,使用戴尔密钥签名,然后所有受影响戴尔笔记本都会信任我的证书,”Ullrich表示,“这也可能用于签名软件,因为该CA被定义为可用于任何目的,而有些CA只可用于专门目的。”
这个eDellRoot证书非常危险,该文件在系统重启后都会重新安装自身,除非用户以特定方式移除它。
今年早些时候,联想电脑被发现预装了Superfish广告软件。该Superfish证书由Superfish签名和控制,所以它可以注入广告到联想电脑。然而,Superfish还会安装自签名的根级HTTPS证书,可拦截用户访问的每个网站的加密流量。
根据Tripwire公司安全研究人员Craig Young表示,Superfish或eDellRoot等根级证书破坏了证书颁发机构建立的信任链。
“SSL依靠信任网络,这包括各大证书颁发机构以及各个网站,”Young解释说,“当远程服务器提供受信任证书颁发机构签署的安全证书时,Web浏览器和其他系统软件会认为连接是专用连接。如果受信任CA的公钥和私钥被攻击者获知,他们可能可以拦截所有专用通信。”
Young表示,通过这种根级证书实现的中间人攻击可能给用户带来巨大风险。
“如果受害者计算机信任假的CA,攻击者可以窃取密码、cookies、信用卡号码,甚至用恶意软件取代下载的软件或更新,”Young表示,“通常情况下,这种类型的攻击会导致浏览器弹出插播式广告,例如红色的X警告用户即将出现的危险。攻击者可以生成让受害者计算机信任的证书,这完全破坏了HTTPS和其他基于SSL服务提供的保护。”
Young甚至创建了测试页面,让用户来测试其系统是否受感染。如果在点击链接后计算机没有显示警告页面,这意味着该系统信任eDellRoot证书。
戴尔已经迅速采取行动发布了指南和自动工具来帮助用户删除该证书,并且还试图解释了为什么这种证书会预装在其设备中。
“该证书并非恶意软件或广告软件,它的目的是向戴尔在线支持提供服务标签,让我们可以快速识别计算机型号,让我们更方便更快捷地为广大客户提供服务,”戴尔发言人Laura P. Thomas在博客中写道,“该证书没有被用来收集客户个人信息,同样需要指出的是,该证书在使用推荐的戴尔程序正确删除后不会重新安装。”
Ixia公司应用和威胁情报主管Steve McGregory赞扬戴尔在初步报告发出的24小时内发布了修补程序。
“他们仍然有大量的公关工作要做,他们必须向其客户说明他们如何审核和控制预装应用程序以重新获得客户的信任,”McGregory表示,“主要的问题是,很多人在购买计算机后不知道他们电脑中安装了根级CA,我不知道戴尔将如何全面修复这个问题。”
Ullrich在援引戴尔声明中的“停止出血”的说法时称,这种情况本来就不应该发生。
“从本质上来讲,他们创建了一个巨大的后门,这可能被其他人利用。这类似于使用默认用户名和密码增加了一个支持管理员账户。虽然戴尔可能不会用它来下载用户的机密文件,但其他人可能会这样做,”Ullrich表示,“我还没有看到戴尔对受影响客户的任何积极接触,这些证书需要尽快移除,以避免任何恶意软件可能利用该问题而制造额外的破坏。”
作者:Michael Heller 翻译:邹铮
来源:51CTO
