Después de Lenovo, ahora Dell envía PCs y portátiles con un CA raíz malicioso

Dell envía portátiles con un CA raíz malicioso, exactamente como ocurrió con Lenovo y Superfish

Parece que la reacción de los usuarios contra el software bloatware Superfish enviado con los PCs y portátiles de Lenovo no ha disuadido a otros fabricantes de instalar software similar preinstalado. Dell es otro de esos grandes fabricantes que se ha encontrado enviando PCs y portátiles con este tipo de bloatware malicioso preinstalado.

Un usuario de Twitter, Joe Nord, ha descubierto que los PCs y portátiles de Dell se envían con un certificado raíz malicioso.

Nueva computadora, “eDellRoot” en la lista de certificados raíz de confianza. Válido hasta 2039. No es una buena sensación. pic.twitter.com/HqpatkwrSZ — Joe Nord (@jhnord) 2 de noviembre de 2015

Nord ha hecho una publicación en la web describiendo eDellRoot. Él dice que aunque las acciones realizadas por eDellRoot no son conocidas en este momento, puede estar en la misma categoría que Superfish. Él dice: “el certificado eDellRoot es un raíz de confianza que expira en 2039 y está destinado para “todos” los propósitos. Nota que esto es más poderoso que el certificado DigiCert claramente legítimo justo encima de él, lo que genera más curiosidad.”

El problema con este CA raíz malicioso es que no se sabe qué actividades de espionaje realizará, a diferencia de Superfish en Lenovo, que era conocido por inyectar adware en los PCs y portátiles de Lenovo sin el consentimiento de los usuarios.

Nord estudió más a fondo el certificado y declaró que “Tienes una clave privada que corresponde a este certificado”. ¡Esto se está volviendo muy sospechoso! Como usuario de computadora, NUNCA debería tener una clave privada que corresponda a un CA raíz. Solo la computadora que emite el certificado debería tener una clave privada y esa computadora debería estar… ¡muy bien protegida!

“Esta es la misma acción que existía con Superfish y en ese caso, Lenovo tomó la acción tremendamente horrible de usar la MISMA clave privada en cada computadora. ¿Ha hecho Dell lo mismo?”

Otro usuario, Rotorcowboy, ha hecho un hilo elaborado en Reddit sobre el CA raíz malicioso. La publicación completa se reproduce a continuación:

Recibí un nuevo y brillante portátil XPS 15 de Dell, y mientras intentaba solucionar un problema, descubrí que venía pre-cargado con un CA raíz auto-firmado llamado eDellRoot. Con él vino su clave privada, marcada como no exportable. Sin embargo, todavía es posible obtener una copia en bruto de la clave privada utilizando varias herramientas disponibles (utilicé la herramienta Jailbreak del NCC Group). Después de discutir brevemente esto con otra persona que también lo había descubierto, determinamos que están enviando cada portátil que distribuyen con el exacto mismo certificado raíz y clave privada, muy similar a lo que hizo Superfish en las computadoras Lenovo. Para aquellos que no están familiarizados, esta es una vulnerabilidad de seguridad importante que pone en peligro a todos los clientes recientes de Dell. Seguramente Dell tuvo que haber visto qué tipo de mala prensa recibió Lenovo cuando la gente descubrió lo que estaba haciendo Superfish. Sin embargo, decidieron hacer lo mismo pero peor. Ni siquiera es una aplicación de terceros la que lo colocó allí; es de la propia bloatware de Dell. Para colmo, ni siquiera está claro qué propósito tiene el certificado. Al menos con Superfish sabíamos que su CA raíz maliciosa era necesaria para inyectar anuncios en tus páginas web; la razón por la que está allí el de Dell es incierta. Si recientemente compraste una computadora Dell y quieres ver si estás afectado por esto, ve a Inicio -> escribe “certmgr.msc” -> (acepta en el aviso de UAC) -> Autoridades de Certificación Raíz de Confianza -> Certificados y verifica si tienes una entrada con el nombre “eDellRoot”. Si es así, ¡felicitaciones, has sido comprometido por Dell, la misma compañía por la que pagaste tu computadora! Aquí hay un enlace al certificado, clave privada y archivo PFX para el certificado que encontré en mi máquina. La contraseña para el archivo PFX es “dell”. (El certificado en sí está en el archivo eDellRoot.crt. NO importes el archivo PFX a menos que sepas lo que estás haciendo. Solo lo incluí por conveniencia.) Si el tuyo vino con el certificado eDellRoot, su huella digital probablemente será: 98:A0:4E:41:63:35:77:90:C4:A7:9E:6D:71:3F:F0:AF:51:FE:69:27 Y su número de serie: 6b:c5:7b:95:18:93:aa:97:4b:62:4a:c0:88:fc:3b:b6 Es decepcionante que Dell haga esto a pesar de la reacción negativa que experimentó Lenovo por parte de sus clientes y del Departamento de Seguridad Nacional de EE. UU., y realmente espero que hagan algo rápidamente para corregir esto. Cuantas más personas sepan y hablen, más rápido sucederá.

No se sabe si este certificado provino de Dell Computer Corporation. Todos los certificados raíz son siempre auto-firmados, por lo que eDellRoot dice que eDellRoot es un certificado legítimo. Pero tener una clave privada registrada en una computadora es malo.

Rotorcowboy se comunicó con Dell en Twitter y @DellCares dice que es un certificado de confianza.

@DellCares Esta es una PREOCUPACIÓN DE SEGURIDAD MAYOR, especialmente porque todos sus clientes tienen el mismo CA en sus máquinas. (1) — Kevin Hicks (@rotorcowboy) 22 de noviembre de 2015

Para aquellos que dicen que esto es solo un CA de nivel raíz y no un spyware de nivel completo como Superfish, rotorcowboy ha declarado que “He estado leyendo que muchas personas son escépticas en el sentido de que este CA no puede hacer nada porque el CA no tiene capacidades. Hice más investigaciones y descubrí que este CA de hecho puede firmar certificados de servidor. He actualizado la lista de archivos arriba para incluir un certificado emitido por el CA con el nombre de archivo “badgoogle.crt”, que también puedes ver en esta captura de pantalla. Para aquellos que no están familiarizados con cómo funciona esto, un atacante en la red podría usar este CA para firmar sus propios certificados falsos para usar en sitios web reales y un usuario de Dell afectado no sería consciente a menos que revisara la cadena de certificados del sitio web. Este CA también podría ser utilizado para firmar código para ejecutarse en las máquinas de las personas, pero aún no he probado esto.”

Dell hasta ahora no ha comentado sobre el problema. Estamos contactando a Dell para obtener sus comentarios. Mientras tanto, si eres propietario de un PC/portátil Dell, se te solicita que verifiques si tu PC/portátil tiene el certificado malicioso según el método dado por Rotorcowboy.