Flere pc-modeller fra Dell leveres med et digital rotsertifikat fra en instans som kaller seg for eDellRoot. Det har nå vist seg at dette sertifikatet gjør det enkelt for angripere å skape falske, men angivelig sikre nettsteder som utgir seg for å være for eksempel Facebook, Google, nettbanken din eller Dell, for den sakens skyld.
Privat nøkkel tilgjengelig
Dette skyldes at alle de berørte pc-ene tilsynelatende er utstyrt med nøyaktig samme rotsertifikat og privatnøkkel. Kevin Hicks, en berørt Dell-kunde, er blant dem som har oppdaget dette. Han skriver på Reddit han var i stand til å hente ut den private nøkkelen ved hjelp av et fritt tilgjengelig verktøy.
Joe Nord, en annen Dell-bruker som omtaler det samme problemet, skriver at eDellRoot-sertifikatet er gyldig til 2039 og kan brukes til alle formål.
Videre skriver han at alle som har tilgang til den private nøkkelen til rotsertifikatet, kan utgi sertifikater til ethvert nettsted. Datamaskiner med rotsertifikatet fra eDellRoot vil konkludere med at det falske sertifikatet er gyldig.
Ars Technica var blant de første teknologiavisene til å omtale saken.
I alle fall noen av Dells XPS 15-maskiner og maskiner i Inspiron 5000-serien, men også noen stasjonære Inspiron-modeller, Precision M4800-utgaver og Latitude-modeller, skal være berørt.
Tredje store tilfelle i år
Man skulle tro at store og antatt seriøse pc-leverandører visste bedre enn å utsette kundene sine for slik risiko. Men det siste året har vist at dette ikke er tilfellet.
I februar ble det kjent at Lenovo utstyrte mange pc-er med et tredjepartsverktøy som heter Superfish. Dette kunne avskjære all kryptert nettlesertrafikk, installerte sitt eget rotsertifikat i pc-ene og genererte nye sertifikater, basert på dette rotsertifikatet, for alle nettsteder som brukeren besøkte. Hensikten var å kunne sette inn annonser på disse nettstedene.
Les mer her: Lenovo leverte mange pc-er med alvorlig skadevare
Noen måneder senere kom nyheten om at Samsung hadde skrudd av den automatiske installasjonen av sikkerhetsoppdateringer fra Windows Update på mange maskiner. Årsaken skal ha vært knyttet til problemer oppdatering av drivere.
Les mer her: – Samsung deaktiverer Windows Update
Begge tilfeller demonstrerte dårlig dømmekraft hos de respektive selskapene. Men de har i alle fall ryddet opp i ettertid.
Instruksjoner
Dell kom i går med en offisiell uttalelse (krever registrering) om oppdagelsen, hvor det erkjennes at det aktuelle sertifikatet utgjør et sikkerhetsproblem som må utbedres. Sertifikatet blir installert av programvaren Dell Foundation Service.
– Sertifikatet er ikke skadevare eller adware. I stedet var det ment for å tilby systemservice-taggen til Dell online support, noe som gjør det mulig for oss å identifisere pc-modellen, og dermed enklere service til våre kunder, skriver en Dell-representant.
Hun viser til dette dokumentet hvor det er finnes instruksjoner for hvordan det aktuelle rotsertifikatet kan fjernes. For de fleste vil det dog være enklere å bruke dette verktøyet, som skal kunne fjerne sertifikatet automatisk.
Dell skal i løpet av dagen i dag rulle ut en programvareoppdatering som fjerner sertifikatet dersom det oppdages. Pc-er som ikke inkluderer Dell Foundation Service skal ikke være berørt. Selskapet skal la være å installere dette sertifikatet på pc-er i framtiden.
Selskapet har dog ikke forklart hvorfor det ikke på egenhånd har innsett at et rotsertifikat med lett tilgjengelig privatnøkkel ikke utgjør en stor sikkerhetsrisiko.