Nach Lenovo versenden jetzt auch Dell-PCs und Laptops mit einem bösartigen Root-CA

Dell versendet Laptops mit bösartigem Root-CA, genau wie es bei Lenovo und Superfish der Fall war

Es scheint, dass die negative Reaktion der Nutzer gegen die mit den Lenovo-PCs und Laptops ausgelieferte Superfish-Bloatware die anderen Hersteller nicht davon abgehalten hat, ähnliche vorinstallierte Bloatware zu installieren. Dell ist ein weiterer großer Hersteller, der PCs und Laptops mit solcher bösartiger Bloatware ausliefert.

Ein Twitter-Nutzer, Joe Nord, hat entdeckt, dass Dell-PCs und -Laptops mit einem bösartigen Root-Zertifikat ausgeliefert werden.

Neuer Computer, “eDellRoot” in der Liste der vertrauenswürdigen Root-Zertifikate. Gültig bis 2039. Kein gutes Gefühl. pic.twitter.com/HqpatkwrSZ — Joe Nord (@jhnord) 2. November 2015

Nord hat einen Webbeitrag verfasst, in dem er eDellRoot beschreibt. Er sagt, dass die von eDellRoot durchgeführten Aktionen derzeit nicht bekannt sind, sie könnten jedoch in die gleiche Kategorie wie Superfish fallen. Er sagt: „Das eDellRoot-Zertifikat ist ein vertrauenswürdiger Root, der 2039 abläuft und für „alle“ Zwecke gedacht ist. Beachten Sie, dass dies mächtiger ist als das eindeutig legitime DigiCert-Zertifikat direkt darüber, was mehr Neugier weckt.“

Das Problem mit diesem bösartigen Root-CA ist, dass nicht bekannt ist, welche Spionageaktivitäten es durchführen wird, im Gegensatz zu Superfish bei Lenovo, das bekannt dafür war, Adware in Lenovo-PCs und -Laptops ohne Zustimmung der Nutzer einzuschleusen.

Nord hat das Zertifikat weiter untersucht und festgestellt: „Sie haben einen privaten Schlüssel, der diesem Zertifikat entspricht.“ Das wird sehr verdächtig! Als Benutzercomputer sollte ich NIEMALS einen privaten Schlüssel haben, der einem Root-CA entspricht. Nur der Computer, der das Zertifikat ausstellt, sollte einen privaten Schlüssel haben, und dieser Computer sollte … sehr gut geschützt sein!“

„Dies ist die gleiche Aktion, die bei Superfish existierte, und in diesem Fall hat Lenovo die äußerst schreckliche Entscheidung getroffen, den GLEICHEN privaten Schlüssel auf jedem Computer zu verwenden. Hat Dell dasselbe getan?“

Ein weiterer Nutzer, Rotorcowboy, hat einen ausführlichen Thread auf Reddit über den bösartigen Root-CA erstellt. Der gesamte Beitrag ist unten wiedergegeben:

Ich habe ein glänzendes neues XPS 15-Laptop von Dell erhalten, und während ich versuchte, ein Problem zu beheben, entdeckte ich, dass es mit einem selbstsignierten Root-CA namens eDellRoot vorinstalliert war. Damit kam auch sein privater Schlüssel, der als nicht exportierbar gekennzeichnet ist. Es ist jedoch immer noch möglich, eine rohe Kopie des privaten Schlüssels mit mehreren verfügbaren Tools zu erhalten (ich habe das Jailbreak-Tool der NCC Group verwendet). Nachdem ich dies kurz mit jemandem besprochen hatte, der dies ebenfalls entdeckt hatte, stellten wir fest, dass sie jedes Laptop, das sie vertreiben, mit dem genau gleichen Root-Zertifikat und privaten Schlüssel ausliefern, sehr ähnlich wie es Superfish bei Lenovo-Computern tat. Für diejenigen, die nicht vertraut sind, ist dies eine erhebliche Sicherheitsanfälligkeit, die alle aktuellen Dell-Kunden gefährdet. Sicherlich musste Dell gesehen haben, welche Art von schlechtem Presse Lenovo bekam, als die Leute entdeckten, was Superfish vorhatte. Dennoch entschieden sie sich, dasselbe, aber schlimmer zu tun. Das ist nicht einmal eine Drittanbieteranwendung, die es dort platziert hat; es stammt aus Dells eigener Bloatware. Um das Ganze noch schlimmer zu machen, ist nicht einmal klar, welchen Zweck das Zertifikat erfüllt. Zumindest wussten wir bei Superfish, dass ihr bösartiger Root-CA benötigt wurde, um Anzeigen in Ihre Webseiten einzufügen; der Grund, warum Dells dort ist, ist unklar. Wenn Sie kürzlich einen Dell-Computer gekauft haben und sehen möchten, ob Sie betroffen sind, gehen Sie zu Start -> „certmgr.msc“ eingeben -> (bei der UAC-Abfrage akzeptieren) -> Vertrauenswürdige Stammzertifizierungsstellen -> Zertifikate und überprüfen Sie, ob Sie einen Eintrag mit dem Namen „eDellRoot“ haben. Wenn ja, herzlichen Glückwunsch, Sie wurden von Dell, dem Unternehmen, für das Sie Ihren Computer bezahlt haben, gepwned! Hier ist ein Link zum Zertifikat, privaten Schlüssel und PFX-Datei für das Zertifikat, das ich auf meinem Computer gefunden habe. Das Passwort für die PFX-Datei lautet „dell“. (Das Zertifikat selbst befindet sich in der Datei eDellRoot.crt. Importieren Sie die PFX-Datei NICHT, es sei denn, Sie wissen, was Sie tun. Ich habe sie nur zur Bequemlichkeit beigefügt.) Wenn Ihres mit dem eDellRoot-Zertifikat geliefert wurde, wird der Fingerabdruck wahrscheinlich sein: ``` 98:A0:4E:41:63:35:77:90:C4:A7:9E:6D:71:3F:F0:AF:51:FE:69:27

Und die Seriennummer: 6b:c5:7b:95:18:93:aa:97:4b:62:4a:c0:88:fc:3b:b6

``` Es ist enttäuschend, dass Dell dies trotz der negativen Reaktion, die Lenovo von seinen Kunden und dem US-Heimatschutzministerium erhielt, tun würde, und ich hoffe wirklich, dass sie schnell etwas unternehmen, um dies zu korrigieren. Je mehr Menschen davon wissen und sich äußern, desto schneller wird es geschehen. Es ist nicht bekannt, ob dieses Zertifikat von der Dell Computer Corporation stammt. Alle Root-Zertifikate sind immer selbstsigniert, daher sagt eDellRoot, dass eDellRoot ein legitimes Zertifikat ist. Aber einen privaten Schlüssel auf einem Computer zu haben, ist schlecht. Rotorcowboy hat Dell auf Twitter kontaktiert, und @DellCares sagt, dass es sich um ein vertrauenswürdiges Zertifikat handelt. > @DellCares Dies ist ein großes Sicherheitsproblem, insbesondere weil Ihre Kunden alle das genau gleiche CA auf ihren Maschinen haben. (1) — Kevin Hicks (@rotorcowboy) 22. November 2015 Für diejenigen, die sagen, dass dies nur ein Root-Level-CA und kein vollständiger Spyware wie Superfish ist, hat Rotorcowboy erklärt: „Ich habe gelesen, dass viele Leute skeptisch sind, in dem Sinne, dass dieser CA tatsächlich nichts tun kann, weil der CA keine Fähigkeiten hat. Ich habe weitere Recherchen angestellt und herausgefunden, dass dieser CA tatsächlich Serverzertifikate signieren kann. Ich habe die Liste der oben genannten Dateien aktualisiert, um ein vom CA ausgestelltes Zertifikat mit dem Dateinamen „badgoogle.crt“ aufzunehmen, das Sie auch in diesem Screenshot sehen können. Für diejenigen, die nicht wissen, wie das funktioniert, könnte ein Netzwerkangreifer diesen CA verwenden, um seine eigenen gefälschten Zertifikate für die Verwendung auf echten Websites zu signieren, und ein betroffener Dell-Nutzer würde nichts merken, es sei denn, er würde zufällig die Zertifikatskette der Website überprüfen. Dieser CA könnte auch verwendet werden, um Code zu signieren, der auf den Maschinen der Leute ausgeführt wird, aber ich habe das noch nicht getestet.“ Dell hat bisher nicht zu dem Thema Stellung genommen. Wir wenden uns an Dell, um deren Kommentare zu erhalten. In der Zwischenzeit werden die Besitzer von Dell-PCs/Laptops gebeten zu überprüfen, ob ihr PC/Laptop das bösartige Zertifikat gemäß der von Rotorcowboy angegebenen Methode hat.