戴尔也被指预装类似联想Superfish的eDellRoot证书

2015年11月24日 09:16 次阅读 稿源:cnBeta.COM 条评论

今年2月份的时候,一款能够以中间人方式劫持SSL连接,在未经用户许可情况下影响IE和Chrome等浏览器上的Google搜索结果,并能在用户浏览的网页中嵌入自己的广告的Superfish软件,曾经让联想面临着巨大的舆论压力。而现在,另一家PC大厂的戴尔也未能幸免。据外媒报道,该公司亦出货了大量预装该广告软件和一款数字证书的计算机,使得攻击者能够轻易地在暗地里仿冒Google、美利坚银行、以及其它受HTTPS保护的网站。

访问:

阿里云新用户福利专场 云服务器ECS低至102元/年

天翼云年中上云节 云主机1C2G 92元/年 实名注册送8888元大礼包

访问购买页面:

戴尔官方旗舰店

这款自签名TLS证书,由一家名为eDellRoot的实体所颁布,并且至少预装在了两款戴尔笔记本上 —— 一款是Inspiron 5000系列,另一款则是XPS 15,它们上面都出现了同样的私有密钥。

这意味着,只要有一定的技术,任何人都可以提取该密钥,并将之用于仿冒互联网上任意受HTTPS保护的网站的欺诈性目的。(上图即自称为程序员的Joe Nord所展示的微软管理控制台界面)

根据所使用的浏览器,任何预装了此类根证书的戴尔计算机都会在接受加密Web会话时不给出任何警示。(Joe Nord还晒出了这个私钥的‘指纹’)

尽管戴尔客服(@DellCares)辩称这款受信任的证书不会对系统造成任何威胁,但是Kevin Hicks(@rotorcowboy)仍然道出了这是个重大的安全隐患,尤其是所有客户的机器上都有完全相同的授权证书这件事。

上周末的时候,某戴尔客户分享了其新近购买的戴尔计算机上预安装的eDellRoot证书的细节,这也算是此事首次被抬上了明面。

糟糕的是,部分戴尔Inspiron台式机、某些Precision M4800、以及Latitude机型,也有报告受到了影响。

对于受到影响的用户,我们只能建议其暂时放弃IE和Chrome浏览器,并仅仅通过Firefox浏览启用了HTTPS防护的网站。根据以往的经验,厂家应该会在数小时或数天内发布一款更新或移除工具。

[编译自:ArsTechnica]

对文章打分

戴尔也被指预装类似联想Superfish的eDellRoot证书

1 (14%)
已有 条意见

    最新资讯

    加载中...

    今日最热

    加载中...

    热门评论

      Top 10

      招聘


      Advertisment ad adsense googles cpro.baidu.com
      created by ceallan