至少有一些戴尔笔记本电脑预装航运与受信任的根证书颁发机构,那些东西发现了CA的比较Superfish广告软件安装在联想的机器使其易人中间攻击。
叫eDellRoot,可信根CA的标准软件加载新的戴尔的机器。凯文·希克斯,使用rotocowboy Reddit的贡献屏幕上的名字,说,影响可能是可怕的。“对于那些不熟悉这是如何工作的,”他写道,“一个网络攻击者可以利用这个CA签署他或她自己的假证书用于真正的网站和一个影响戴尔用户是不知道的,除非他们碰巧检查网站的证书链。这个CA也可以用来标志代码人的机器上运行,但我还没有检测出来。”
eDellRoot证书的目的是为所有目的,意义的特权是更广泛的比DigiCert证书也安装在机器上被另一个戴尔的主人,检查程序员乔北,还拥有一个戴尔。“我有一个很难想出一个好理由,戴尔电脑公司需要一个可信根CA在我的电脑,“北方在他的博客里写道。
戴尔尚未回应请求的解释eDellRoot以及客户是否应该担心。这个故事将被更新时。
然而,DellCares Twitter帐户对希克斯承诺入住他的担忧。“我们理解您的情况。我们会接触到我们的产品组团队,让你知道为什么eDellroot存在,“推特说。
目前尚不清楚CA安装由戴尔或合作伙伴允许预装软件的机器上或由攻击者已经渗透到戴尔的生产线。
北方的文章还包括一个截图关于证书的信息说,“你有这个证书对应的私钥。Nord写道:“作为一个用户的电脑,我不应该只对应于一个根CA的私有密钥。发行电脑应该有私钥和证书,计算机应该……非常好的保护!”
他写道,这是不可能告诉戴尔本身是否安装了证书。“根证书总是签名,所以我真的只知道eDellRoot说eDellRoot是合法的,”北说。“分解是私钥是出现在我的电脑,这意味着……坏。”
北方的潜在危险和希克斯都比作eDellRoot Superfish广告软件,是新联想电脑今年早些时候发现的。Superfish代理HTTPS连接网站和用户的机器,让机器数据插入到任何页面的下载。此外,Superfish所有联想机器使用相同的证书和私钥证书很容易捕捉。
研究总监海波宁(Mikko Hypponen)f - secure发布在Twitter链接Superfish eDellRoot:“注意:戴尔创建# eDellRoot证书6个月后联想Superfish丑闻袭击的消息。没有教训。”