至少有一些戴尔笔记本在出厂时预装了一个受信任的根证书颁发机构,那些发现CA的人正在进行比较Superfish联想电脑上安装的广告软件使得电脑容易受到中间人攻击。
被称为eDellRoot的可信根CA是新的戴尔计算机上标准软件加载的一部分。凯文·希克斯,使用rotocowboy的Reddit贡献者对于一个网名来说,影响可能是可怕的。“对于那些不熟悉其工作原理的人,”他写道,“网络攻击者可以使用这个CA为他或她自己的假证书签名,以便在真实网站上使用,而受影响的戴尔用户将不会知道,除非他们碰巧检查了网站的证书链。”这个CA还可以用来给代码签名,让它在人们的机器上运行,但我还没有测试过。”
据同样拥有一台戴尔电脑的程序员乔·诺德(Joe Nord)说,eDellRoot证书适用于所有用途,这意味着它的权限比另一个戴尔用户正在检查的机器上安装的DigiCert证书更广泛。“我很难想出一个好的理由,戴尔电脑公司需要成为我的计算机上可信的根CA,”诺德他在博客中写道.
戴尔尚未对有关eDellRoot的解释以及客户是否应该担心的要求做出回应。这篇报道到时候会更新。
然而,戴尔关怀公司的推特账户回应了希克斯,承诺会关注他的担忧。“我们理解你的处境。我们会联系我们的产品团队,让你们知道为什么eDellroot会在这里。”
目前尚不清楚安装CA的是戴尔,还是被允许在机器上预装软件的合作伙伴,还是已经渗透到戴尔生产线的攻击者。
Nord的帖子还包括一张关于证书信息的截图,上面写着:“你有一个与此证书相对应的私钥。”Nord写道:“作为用户计算机,我永远不应该拥有与根CA对应的私钥。只有颁发证书的计算机应该有私钥,而那台计算机应该是……非常好的保护!”
他写道,不可能知道戴尔自己是否安装了证书。“根证书总是自签名的,所以我真正知道的是eDellRoot说eDellRoot是合法的,”Nord说。“它崩溃的原因是私钥在我的电脑上,这意味着……坏。”
诺德和希克斯都把eDellRoot的潜在危险比作今年早些时候在联想(Lenovo)的新电脑上发现的超级鱼(Superfish)广告软件。Superfish代理网站和用户机器之间的HTTPS连接,允许将数据插入机器正在下载的任何页面。此外,Superfish在所有联想机器上使用相同的证书,并且很容易获取证书的私钥。
Mikko Hypponen,首席研究官f - secure他在Twitter上将Superfish和eDellRoot链接起来:“注意:戴尔在联想的Superfish丑闻曝光6个月后创建了他们的#eDellRoot证书。没有教训。”