今年早些时候,联想电脑被发现预装了Superfish广告程序,这款软件会增加用户受到黑客攻击的风险,一时引发了大量讨论,而最近,Duo实验室的安全研究人员在戴尔Inspiron 14笔记本中发现了一些奇怪的证书,这些证书同样会增加用户受到黑客攻击的风险。
研究人员的发现
研究人员在戴尔电脑上发现两个证书,包括一款被信任的eDellRoot根证书
使用了这些证书的系统中的一个提供HTTPS web服务的系统是一个SCADA (supervisory control and data acquisition,监控和数据采集)系统。
eDellRoot预装的时候有关联的私钥,这是个大错误
调查表明,戴尔有意地在其他型号中预装相同的私钥。
也就是说,攻击者可以嗅探戴尔用户的流量,还可以修改他们的流量传播恶意软件。
研究人员还在戴尔电脑上发现了另一个证书问题——在蓝牙管理软件中发现了Atheros Authenticode证书
影响
如果用户在咖啡店里使用戴尔笔记本电脑,处在同一wifi网络的攻击者就可以嗅探所有TLS加密的流量了,攻击者可以从而获取诸如银行卡密码、电子邮件等的敏感数据。
攻击者还可以篡改用户的流量,如当用户要下载某款正规软件或者安装自动更新时,攻击者可以对流量进行篡改,从而使用户下载到恶意软件,并且攻击者还可以让软件看起来是由可信的开发者签名的。
Atheros Authenticode证书
戴尔电脑中不仅仅包含eDellRoot这款证书,电脑的蓝牙管理软件中包含一个名叫‘Verisign.pfx’的文件,单看这个名字就可以看出些端倪。
这个.pfx文件需要密码才能打开,团队用了次优的云端只花了6小时就破解出了密码,密码是‘t-span’。
结果发现,蓝牙管理软件中还有个Atheros签名证书。这款证书是用来对系统预装的四个蓝牙驱动进行签名的:
btath_hcrp.sys
btath_lwflt.sys
btath_pan.sys
bthathfax.sys
所幸的是,这款证书于3/31/2013过期,也就没有滥用的可能了。
影响机型
至少以下三款戴尔笔记本中存在自签名密钥:
戴尔Inspiron 5000系列笔记本电脑
戴尔XPS 15
戴尔XPS 13
现在市面上的大量戴尔笔记本都应该中招了,特别是最近的戴尔Inspiron桌面电脑,XPS,和Precision M4800、Latitude机型。
你中招了没?
检查你的电脑中是否有危险的证书:
1. 打开开始菜单
2. 选择“运行”
3. 在运行框中输入certmgr.msc,点击回车
4. 在左侧侧边栏中选择”可信根证书颁发机构”文件夹
5. 选择“证书”
6. 搜索“eDellRoot”
如果你发现了eDellRoot证书,你可以右键选择移除,但这样看上去你把证书删除了,但实际上并没有。重启电脑后重新打开证书管理器,你会惊喜地发现根证书又回来了。
官方回应及修复方法
戴尔的发言人在一份声明中称,公司正在调查证书事件:
“戴尔高度关注客户的安全和隐私,我们的团队正在调查此事件,有更多信息我们会尽快通知大家.”
附上两款证书下载:DellCertificates.zip
