https://static.jiayezz.com/c3/f8b1d64b0c3dbb8e02b005ecb18c8d

        戴尔笔记本电脑都预装了根证书和相应的私钥,这完全损害了加密的HTTPS连接的安全性。我提供了一个在线检测,检测到受影响的用户应该删除该证书。

        看来,戴尔还是没有从今年早些时候的Superfish丑闻学到任何东西:公司里的笔记本电脑设备都预安装了根证书,这将会被浏览器接受。私钥也被安装在系统上并且现在已经发布了。因此攻击者可以对戴尔用户使用中间人攻击(Man in the Middle attacks),来操纵并显示他们的HTTPS网页或者阅读他们的加密数据。

        该证书安装在系统中名为“eDellRoot”的证书存储区之下,由一个戴尔基础服务软件来安装。该软件仍然可以在戴尔的网站上获取。据戴尔有些含糊的描述,该软件是用来提供“基础性服务,推动客户服务能力,信息和支持功能”的。

        此证书的私钥标记为在Windows证书存储区中不可导出。然而,这并没有提供真正的保护,也有工具可以导出这样的不可导出的证书密钥。Reddit平台(红迪网)的一位用户已经放出了密钥。

        对于受影响笔记本电脑的用户来说,这是一个非常严重的安全风险。每一个攻击者都可以利用这个根证书来创建任意网页的有效证件。即使是HTTP 公钥固定扩展(HTTP Public Key Pinning,HPKP)都不能防止这种攻击,因为浏览器厂商允许本地安装的证书覆盖这种密钥固定保护。这是为了允许所谓的TLS侦听代理的运行所执行的折衷。

        前一阵子,Kristof Mattei和我提到过这个问题。两个星期前我们为一个声明询问过戴尔,但是并没有得到任何答复。

        目前还不清楚这个证书服务的目的所在。然而,它不可能就是一个故意摆在那里被人监视利用。在这种情况下,戴尔不会把私钥安装在系统上的。

        受影响的仅仅是使用浏览器或使用该系统的证书存储的其他应用程序的用户。常见的Windows浏览器之中会受到影响的是IE,Edge和Chrome。不受影响的是Firefox的用户,Mozilla的浏览器都有自己的证书存储区。

        戴尔笔记本电脑的用户可以使用在线检查工具检查自己是否受影响。受影响的用户应立即删除Windows证书管理器中的证书。证书管理器可以通过单击“开始”,键入“certmgr.msc”来启动。而“eDellRoot”证书,可以在“可信任的根证书颁发机构(Trusted Root Certificate Authorities)”中找到。

        这一事件与Superfish事件几乎一模一样。今年早些时候,大家都知道了联想在其笔记本电脑中预装了一个名为Superfish的软件。Superfish截取HTTPS的连接来注入广告。它使用一个根证书完成这些,且相应的私钥是该软件的一部分。经过与相似的漏洞的事件鉴定的一些相同的项目,我们发现他们都用了一个所谓的Komodia软件模块。类似的漏洞在其他的一些产品中找到,例如Privdog中和ad blocker Adguard中。

文章原文链接:https://www.anquanke.com/post/id/82980