Dell także manipuluje przy zaufanych certyfikatach Windowsa

Dell także manipuluje przy zaufanych certyfikatach Windowsa

Który to już raz słyszymy o narażaniu użytkowników na ataki man-in-the-middle poprzez podstawianie własnych certyfikatów do zaufanych magazynów? Z pewnością nie pierwszy, ani nie drugi, ani nie trzeci… tym razem historia Della.

Superfish 2 w wykonaniu Della

Niestety, nie wszyscy wyciągnęli wnioski z afery, która na początku tego roku ukazała haniebne działania firmy Lenovo polegające na manipulowaniu Windowsowym zaufanym magazynem certyfikatów. Lenovo poprzez dodawanie własnych certyfikatów głównych w swoich laptopach mogło w bez większego wysiłku (np. bez ostrzeżeń ze strony przeglądarki) podsłuchiwać ruch sieciowy ich właścicieli. Przy okazji dając taką możliwość każdemu zainteresowanemu.

Jeden z posiadaczy laptopa firmy Dell odkrył podobe praktyki w swoim sprzęcie. W magazynie certyfikatów Windowsa, w którym przechowywane są certyfikaty wszystkich zaufanych przez Microsoft Urzędów Certyfikacji, znajdował się certyfikat wystawiony dla eDellRoot. Co najgorsze razem z certyfikatem (kluczem publicznym) znajdował się tam także klucz prywatny (!), taki sam na wszystkich komputerach (!!). Nie muszę już chyba dodawać, że klucz ten już można znaleźć w sieci. W skrócie oznacza to, że każdy kto wejdzie w posiadane tego klucza prywatnego może wygenerować certyfikat TLS dla dowolnej domeny i podstawić go użytkownikowi laptopa Della z preinstalowanym certyfikatem eDellRoot, a przeglądarki (przynajmniej te korzystające z magazynu certyfikatów Windowsa) zaakceptują go bez szemrania.

eDellRoot w Zaufanym Magazynie Certyfikatów Głównych Windowsa

eDellRoot w Zaufanym Magazynie Certyfikatów Głównych Windowsa

Masz Della? Sprawdź

Do tej pory źródła wskazują na dwa podatne modele: Inspiron 5000 i XPS 15. Jeżeli jesteś posiadaczem, któregoś z nich warto sprawdzić czy i Tobie Dell dodał coś od siebie do magazynu certyfikatów. Można to zrobić bezpośrednio weryfikując zawartość magazynu certyfikatów głównych (Uruchom -> certmgr.msc -> Zaufane główne urzędy certyfikacji) lub skorzystać z weryfikacji na specjalnie przygotowanej stronie.

Komentarz Oprah Winfrey do sprawy

Komentarz Oprah Winfrey do sprawy

Na koniec można zadać pytanie: kiedy producenci sprzętu/oprogramowania nauczą się w końcu, że dodając własne certyfikaty do zaufanych magazynów ceryfikatów (na dodatek popełniając przy tym masę błędów) narażają swoich klientów na niebezpieczenstwo utraty prywatnych danych, i że niweczą tym samym wypracowywany przez lata model zaufania na którym opiera się bezpieczeńtwo dzisiejszego Internetu, i że prędzej czy później takie praktyki zakończą się dla nich bardzo niekorzystnie? Chyba nieprędko… zatem do następnego razu…

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *