Hlavní navigace

Bezpečnostní problém: notebooky od Dellu mají taky vlastní Superfish

Autor: Isifa
Daniel Dočekal

Vlastní klonovatelný a široce zneužitelný root certifikát najdete v notebooku od Dellu. Snadno použitelný pro podepsání čehokoliv.

Kauza Superfish před měsíci přinesla zásadní problémy Lenovu (viz Lenovo instaluje na nové počítače nebezpečný adware a MITM nástroj) a teď se do problémů dostal také Dell. 

Pokud máte notebook od Dellu, zajděte na zmap.io/dell (test prohlížeče, měl by varovat, ale u postiženého Dell notebooku nebude) nebo na edell.tlsfun.de (test, zda máte onen certifikát nainstalovaný), kde si můžete ověřit, jestli i právě váš notebook (nebo obecně počítač) neobsahuje root certifikát, který je zásadním bezpečnostním problémem.

Dell na notebook přidává TSL certifikát podepsaný entitou eDellRoot. Problém je v tom, že není těžké získat privátní klíč, který k tomuto certifikátu patří – což znamená, že ho poté může využít k podepsání, například programu, ale také pro vytvoření podvodných TSL certifikátů pro HTTPS web. Pokud na podobný web přijdete s počítačem obsahujícím zmíněný root certifikát, bude ho považovat automaticky za bezpečný.

Podobně jako v ostatních případech se ukazuje, že oslovit technickou podporu přes sociální sítě nemusí nutně znamenat, že dostanete kvalifikovanou odpověď. @DellCares na oznámení zásadního bezpečnostního problému reagovali tvrzením, že jde o důvěryhodný certifikát Dellu, který je zdokumentovaný v návodu a „nezpůsobuje žádné hrozby pro systém“.

Pokud si chcete sami ověřit, jestli ve vašem počítači něco takového je, spusťte Microsoft Management Console (mmc), přidejte si přes Soubor → Přidat nebo odebrat modul snap-in ten pro Certifikáty (kliknete na Přidat a pak vyberete Účet počítače a poté Lokální počítač). 

Pak si rozbalíte Certifikáty → Důvěryhodné kořenové certifikační autority → Certifikáty. Zde pak už případně snadno najdete (nebo raději spíš nenajdete) eDellRoot.

Z jakého důvodu (a za jakým účelem) Dell do notebooků přidává zneužitelný certifikát, prozatím není zcela jasné, v omluvě a návodu na odstranění certifikátu je zmíněno, že jde o součást Dell Foundation Services. Podstatné je to, že certifikát je snadno zneužitelný. Jak už bylo navíc dokázáno, je možné ho zneužít i pro podepsání libovolného softwaru, který se pak může dostat do počítače. 

DODATEK 13:00: Dell v Response to Concerns Regarding eDellroot Certificate potvrdil existenci eDellRoot certifikátu instalovaného jako součást Dell Foundation Services, včetně toho, že jde o bezpečnostní nedostatek. Doplněny jsou i pokyny k odstranění certifikátu (Word Document), po 24. listopadu bude uvolněn update, který by měl certifikát z počítačů odstranit.

Odstranění certifikátu spočívá v zastavení služby Dell Foundation Services, spuštění MMC pro přístup k certifikátům a smazání certifikátu a poté opět spuštění Dell Foundation Services.

DODATEK 13:30 : Superfish 2.0 worsens: Dell's dodgy security certificate is an unkillable zombie upozorňuje na to, čeho se všichni obávali. eDellRoot certifikát sice smazat můžete, ale při příštím restartu systému se znovu v systému objeví. Může za to knihovna (Dell.Foundation.Agent.Plu­gins.eDell.dll)

Našli jste v článku chybu?