还记得 2015 年 2 月联想爆发部分笔电机型预载 Superfish 恶意广告软件事件,自行签发安全凭证蒙骗浏览器,绑架合法连线,并使得骇客可轻易进行中间人攻击。无独有偶,戴尔新笔电也爆发类似的安全问题,戴尔部分笔电预装的安全评证让骇客可容易模仿 Google、银行体系等任何以 HTTPS 保护的网站。
23 日戴尔被爆出部分笔电预装了非正统 SSL 凭证--eDellRoot,而该凭证出现安全漏洞,骇客可透过根凭证(root certificate),来创建任何网站的合法凭证,骇客可透过这样的途径解锁加密通信、进行中间人攻击,恶搞、伪装成 Google、Yahoo 等热门网站,或银行、购物网站等任何网站蒙骗使用者,使用者无疑暴露于危机之中。且由于基于 TLS 安全协议,浏览器对于本端安装的凭证可不需公钥(key pinning)的保护,因此即便 HTTP 的 Public Key Pinning(HPKP)机制,也无法防止这类攻击。
事件爆发的起因,是一名自述为软件工程师的 Joe Nord,在 22 日发现自己新买的戴尔笔电,预装了 eDellRoot 凭证,该凭证被允许用于所有目的,且效期直到 2039 年,进一步查询,该凭证竟有对应的私钥,Joe Nord 认知在一般使用者的电脑,不该会有这样的情形发生,而该私钥虽标记为不可导出,然任何人只要有办法取得这组私钥,即可以伪造凭证造访任何网站,即便该网站为问题网站,使用者也会误以为这是安全网站。
▲戴尔用户 Joe Nord 于 Windows 档案总管当中发现 eDellRoot 凭证。(Source:Joe Nord)
▲eDellRoot 凭证详细内容。(Source:Joe Nord)
戴尔这项事件不免也让人联想到 2015 年 2 月联想电脑才爆发的预装恶意广告软件事件,联想电脑当时被爆出在笔电预载 Superfish/Visual Discovery 广告软件,该软件除会持续弹出广告,还会自行签发安全凭证,可冒充合法网站凭证,致使使用者误将问题网站视为安全网站,骇客可轻易透过凭证进行中间人攻击。
事件爆发后,戴尔坦承了这项安全漏洞,承认在今年八月开始加载该凭证于消费与商用装置,设置 eDellRoot 凭证的目的,是为加速线上支援协定体验,并强调没有预装任何广告或恶意软件。
戴尔发言体系指出,客户的隐私与资讯安全是公司最关心的问题,并且将此问题摆在第一位,强调未来在戴尔系统中将卸载该项凭证,而目前有预载该项凭证的电脑,将以电子邮件直接向客户说明,并协助其由自己的电脑系统永久删除该凭证。
据国外网络安全部落格 threatpost 与科技网站 Ars Technica 消息,包含戴尔 XPS 15 笔电与 Inspiron 系列笔电与桌机皆预载了该凭证, Ars Technica 还指出,部分 Precision M4800 工作站与 Latitude 机型也同样有这个漏洞。
- Dell admits preinstalling root certificate and pledges to remove it
- DELL COMPUTERS SHIP WITH ROOT CERT, PRIVATE KEY
- Dell does a Superfish, ships PCs with easily cloneable root certificates
-
New Dell computer comes with a eDellRoot trusted root certificate
