戴尔修复根证书:你想到Superfish了吗?

简介:

戴尔迅速采取行动修复了其电脑中的根级证书问题,这个问题与Superfish类似,因为它可能允许攻击者拦截加密的个人数据。

戴尔修复根证书:你想到Superfish了吗?

戴尔电脑被发现预装了eDellRoot证书和私钥,更糟的是,所有戴尔笔记本电脑都装有这种证书。

SANS技术研究院长Johannes Ullrich表示,eDellRoot证书作为受信任的根级证书颁发机构(CA),并且戴尔提供了密钥,这几乎允许任何人创建签名和验证的证书。

“我可以为Google.com创建证书,使用戴尔密钥签名,然后所有受影响戴尔笔记本都会信任我的证书,”Ullrich表示,“这也可能用于签名软件,因为该CA被定义为可用于任何目的,而有些CA只可用于专门目的。”

这个eDellRoot证书非常危险,该文件在系统重启后都会重新安装自身,除非用户以特定方式移除它。

今年早些时候,联想电脑被发现预装了Superfish广告软件。该Superfish证书由Superfish签名和控制,所以它可以注入广告到联想电脑。然而,Superfish还会安装自签名的根级HTTPS证书,可拦截用户访问的每个网站的加密流量。

根据Tripwire公司安全研究人员Craig Young表示,Superfish或eDellRoot等根级证书破坏了证书颁发机构建立的信任链。

“SSL依靠信任网络,这包括各大证书颁发机构以及各个网站,”Young解释说,“当远程服务器提供受信任证书颁发机构签署的安全证书时,Web浏览器和其他系统软件会认为连接是专用连接。如果受信任CA的公钥和私钥被攻击者获知,他们可能可以拦截所有专用通信。”

Young表示,通过这种根级证书实现的中间人攻击可能给用户带来巨大风险。

“如果受害者计算机信任假的CA,攻击者可以窃取密码、cookies、信用卡号码,甚至用恶意软件取代下载的软件或更新,”Young表示,“通常情况下,这种类型的攻击会导致浏览器弹出插播式广告,例如红色的X警告用户即将出现的危险。攻击者可以生成让受害者计算机信任的证书,这完全破坏了HTTPS和其他基于SSL服务提供的保护。”

Young甚至创建了测试页面,让用户来测试其系统是否受感染。如果在点击链接后计算机没有显示警告页面,这意味着该系统信任eDellRoot证书。

戴尔已经迅速采取行动发布了指南和自动工具来帮助用户删除该证书,并且还试图解释了为什么这种证书会预装在其设备中。

“该证书并非恶意软件或广告软件,它的目的是向戴尔在线支持提供服务标签,让我们可以快速识别计算机型号,让我们更方便更快捷地为广大客户提供服务,”戴尔发言人Laura P. Thomas在博客中写道,“该证书没有被用来收集客户个人信息,同样需要指出的是,该证书在使用推荐的戴尔程序正确删除后不会重新安装。”

Ixia公司应用和威胁情报主管Steve McGregory赞扬戴尔在初步报告发出的24小时内发布了修补程序。

“他们仍然有大量的公关工作要做,他们必须向其客户说明他们如何审核和控制预装应用程序以重新获得客户的信任,”McGregory表示,“主要的问题是,很多人在购买计算机后不知道他们电脑中安装了根级CA,我不知道戴尔将如何全面修复这个问题。”

Ullrich在援引戴尔声明中的“停止出血”的说法时称,这种情况本来就不应该发生。

“从本质上来讲,他们创建了一个巨大的后门,这可能被其他人利用。这类似于使用默认用户名和密码增加了一个支持管理员账户。虽然戴尔可能不会用它来下载用户的机密文件,但其他人可能会这样做,”Ullrich表示,“我还没有看到戴尔对受影响客户的任何积极接触,这些证书需要尽快移除,以避免任何恶意软件可能利用该问题而制造额外的破坏。”


作者:Michael Heller 翻译:邹铮

来源:51CTO

相关文章
|
12月前
|
安全
致远OA A8 htmlofficeservlet 任意文件上传漏洞 漏洞复现
致远OA A8 htmlofficeservlet 任意文件上传漏洞 漏洞复现
1523 0
致远OA A8 htmlofficeservlet 任意文件上传漏洞 漏洞复现
|
12月前
|
安全
致远OA wpsAssistServlet 任意文件上传漏洞 漏洞复现
致远OA wpsAssistServlet 任意文件上传漏洞 漏洞复现
1590 0
|
JSON 监控 安全
通达OA任意文件上传漏洞详细分析
通达OA任意文件上传漏洞详细分析
|
SQL 安全 数据安全/隐私保护
公司网站被黑被篡改的处理办法
公司网站被黑被篡改的处理办法
403 0
公司网站被黑被篡改的处理办法
|
数据安全/隐私保护
苹果提交版本后显示”缺少出口合规证明“的解决办法
苹果提交版本后显示”缺少出口合规证明“的解决办法
1467 0
|
缓存 网络协议 安全
中国顶级域名根服务器故障 大部分网站受影响
1月21日下午消息,据多家DNS服务商透露,今日下午3点,全国所有通用顶级域的根服务器出现异常,导致国内大部分用户无法正确解析域名,对全国互联网链接造成系统性影响。
197 0
|
安全
未找到工作先遇黑客 八大人事局网站被挂马
本想去当地的人事局网站看看就业信息,没想到一打开竟然全是淫秽网站。家住开封的大四学生小李近日遇上了不堪的事。原来黑客打起了就业人群的主意,斗胆在开封人事局网站(http://www.kfrs.gov.cn/inc/)上做起“有色”买卖。
1119 0

热门文章

最新文章