戴尔修复根证书:你想到Superfish了吗?

戴尔迅速采取行动修复了其电脑中的根级证书问题,这个问题与Superfish类似,因为它可能允许攻击者拦截加密的个人数据。

成都创新互联公司专注于甘谷网站建设服务及定制,我们拥有丰富的企业做网站经验。 热诚为您提供甘谷营销型网站建设,甘谷网站制作、甘谷网页设计、甘谷网站官网定制、重庆小程序开发公司服务,打造甘谷网络公司原创品牌,更为您提供甘谷网站排名全网营销落地服务。

戴尔电脑被发现预装了eDellRoot证书和私钥,更糟的是,所有戴尔笔记本电脑都装有这种证书。

SANS技术研究院长Johannes Ullrich表示,eDellRoot证书作为受信任的根级证书颁发机构(CA),并且戴尔提供了密钥,这几乎允许任何人创建签名和验证的证书。

“我可以为Google.com创建证书,使用戴尔密钥签名,然后所有受影响戴尔笔记本都会信任我的证书,”Ullrich表示,“这也可能用于签名软件,因为该CA被定义为可用于任何目的,而有些CA只可用于专门目的。”

这个eDellRoot证书非常危险,该文件在系统重启后都会重新安装自身,除非用户以特定方式移除它。

今年早些时候,联想电脑被发现预装了Superfish广告软件。该Superfish证书由Superfish签名和控制,所以它可以注入广告到联想电脑。然而,Superfish还会安装自签名的根级HTTPS证书,可拦截用户访问的每个网站的加密流量。

根据Tripwire公司安全研究人员Craig Young表示,Superfish或eDellRoot等根级证书破坏了证书颁发机构建立的信任链。

“SSL依靠信任网络,这包括各大证书颁发机构以及各个网站,”Young解释说,“当远程服务器提供受信任证书颁发机构签署的安全证书时,Web浏览器和其他系统软件会认为连接是专用连接。如果受信任CA的公钥和私钥被攻击者获知,他们可能可以拦截所有专用通信。”

Young表示,通过这种根级证书实现的中间人攻击可能给用户带来巨大风险。

“如果受害者计算机信任假的CA,攻击者可以窃取密码、cookies、信用卡号码,甚至用恶意软件取代下载的软件或更新,”Young表示,“通常情况下,这种类型的攻击会导致浏览器弹出插播式广告,例如红色的X警告用户即将出现的危险。攻击者可以生成让受害者计算机信任的证书,这完全破坏了HTTPS和其他基于SSL服务提供的保护。”

Young甚至创建了测试页面,让用户来测试其系统是否受感染。如果在点击链接后计算机没有显示警告页面,这意味着该系统信任eDellRoot证书。

戴尔已经迅速采取行动发布了指南和自动工具来帮助用户删除该证书,并且还试图解释了为什么这种证书会预装在其设备中。

“该证书并非恶意软件或广告软件,它的目的是向戴尔在线支持提供服务标签,让我们可以快速识别计算机型号,让我们更方便更快捷地为广大客户提供服务,”戴尔发言人Laura P. Thomas在博客中写道,“该证书没有被用来收集客户个人信息,同样需要指出的是,该证书在使用推荐的戴尔程序正确删除后不会重新安装。”

Ixia公司应用和威胁情报主管Steve McGregory赞扬戴尔在初步报告发出的24小时内发布了修补程序。

“他们仍然有大量的公关工作要做,他们必须向其客户说明他们如何审核和控制预装应用程序以重新获得客户的信任,”McGregory表示,“主要的问题是,很多人在购买计算机后不知道他们电脑中安装了根级CA,我不知道戴尔将如何全面修复这个问题。”

Ullrich在援引戴尔声明中的“停止出血”的说法时称,这种情况本来就不应该发生。

“从本质上来讲,他们创建了一个巨大的后门,这可能被其他人利用。这类似于使用默认用户名和密码增加了一个支持管理员账户。虽然戴尔可能不会用它来下载用户的机密文件,但其他人可能会这样做,”Ullrich表示,“我还没有看到戴尔对受影响客户的任何积极接触,这些证书需要尽快移除,以避免任何恶意软件可能利用该问题而制造额外的破坏。”

标题名称:戴尔修复根证书:你想到Superfish了吗?
本文链接:http://www.shufengxianlan.com/qtweb/news18/186168.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联