이제 델 PC와 노트북도 악성 루트 수준 CA가 설치되어 배송됩니다

델, 레노버와 슈퍼피시와 똑같이 악성 루트 CA가 설치된 노트북을 배송하다

레노버 PC와 노트북에 배송된 슈퍼피시 불필요한 소프트웨어에 대한 사용자들의 반발이 다른 제조사들이 유사한 사전 설치된 불필요한 소프트웨어를 설치하는 것을 막지 못한 것 같습니다. 델은 이러한 불필요한 소프트웨어가 사전 설치된 PC와 노트북을 배송하는 또 다른 대형 제조사입니다.

트위터 사용자 조 노드(Joe Nord)는 델 PC와 노트북이 악성 루트 수준 인증서와 함께 배송된다는 것을 발견했습니다.

새 컴퓨터, 신뢰할 수 있는 루트 인증서 목록에 “eDellRoot”가 있습니다. 2039년까지 유효합니다. 기분이 좋지 않네요. pic.twitter.com/HqpatkwrSZ — Joe Nord (@jhnord) 2015년 11월 2일

노드는 eDellRoot에 대한 웹 게시물을 작성했습니다. 그는 eDellRoot가 현재 어떤 행동을 하는지는 알려져 있지 않지만, 슈퍼피시와 같은 범주에 있을 수 있다고 말합니다. 그는 “eDellRoot 인증서는 2039년에 만료되는 신뢰할 수 있는 루트이며 ‘모든’ 용도로 사용됩니다. 이는 위에 있는 명확히 합법적인 DigiCert 인증서보다 더 강력하다는 점에 주목하세요. 이는 더 많은 호기심을 불러일으킵니다.”라고 말합니다.

이 악성 루트 수준 CA의 문제는 레노버의 슈퍼피시와 달리 어떤 스파이 활동을 수행할지 알 수 없다는 것입니다. 슈퍼피시는 사용자 동의 없이 레노버 PC와 노트북에 광고 소프트웨어를 주입하는 것으로 알려져 있었습니다.

노드는 인증서를 추가로 연구하고 “이 인증서에 해당하는 개인 키가 있습니다.”라고 밝혔습니다. 이는 매우 수상합니다! 사용자 컴퓨터로서 루트 CA에 해당하는 개인 키를 절대 가져서는 안 됩니다. 인증서를 발급하는 컴퓨터만 개인 키를 가져야 하며, 그 컴퓨터는 … 매우 잘 보호되어야 합니다!”

“이는 슈퍼피시와 동일한 행동이며, 그 경우 레노버는 모든 컴퓨터에서 동일한 개인 키를 사용하는 엄청나게 끔찍한 행동을 했습니다. 델도 같은 짓을 한 것인가요?”

또 다른 사용자 로터카우보이(Rotorcowboy)는 악성 루트 수준 CA에 대한 자세한 스레드를 레딧에 작성했습니다. 전체 게시물은 아래에 재현됩니다:

나는 델에서 반짝이는 새로운 XPS 15 노트북을 받았고, 문제를 해결하려고 시도하는 동안 eDellRoot라는 이름의 자체 서명된 루트 CA가 사전 로드되어 있다는 것을 발견했습니다. 그와 함께 비가역적인 개인 키가 제공되었습니다. 그러나 여러 도구를 사용하여 개인 키의 원시 복사본을 얻는 것은 여전히 가능합니다(나는 NCC 그룹의 탈옥 도구를 사용했습니다). 이 문제를 발견한 다른 사람과 간단히 논의한 후, 우리는 그들이 배포하는 모든 노트북에 정확히 동일한 루트 인증서와 개인 키를 배송하고 있다는 것을 확인했습니다. 이는 레노버 컴퓨터에서 슈퍼피시가 했던 것과 매우 유사합니다. 잘 모르는 분들을 위해, 이는 모든 최근 델 고객에게 위험한 주요 보안 취약점입니다. 분명히 델은 사람들이 슈퍼피시의 행동을 발견했을 때 레노버가 어떤 나쁜 언론을 받았는지 보았어야 했습니다. 그럼에도 불구하고 그들은 더 나쁜 방식으로 같은 일을 하기로 결정했습니다. 이는 그곳에 놓인 제3자 애플리케이션이 아니라 델의 불필요한 소프트웨어에서 나온 것입니다. 부상에 소금을 뿌리자면, 이 인증서가 어떤 목적을 가지고 있는지조차 명확하지 않습니다. 최소한 슈퍼피시와는 달리 우리는 그들의 악성 루트 CA가 웹 페이지에 광고를 주입하는 데 필요하다는 것을 알고 있었습니다. 델의 인증서가 왜 있는지는 불분명합니다. 최근에 델 컴퓨터를 구입하고 이 문제의 영향을 받는지 확인하고 싶다면, 시작 -> “certmgr.msc” 입력 -> (UAC 프롬프트에서 수락) -> 신뢰할 수 있는 루트 인증 기관 -> 인증서로 이동하여 “eDellRoot”라는 이름의 항목이 있는지 확인하세요. 그렇다면 축하합니다. 당신은 당신의 컴퓨터에 대해 돈을 지불한 바로 그 델에게 해킹당했습니다! 여기 내 컴퓨터에서 발견한 인증서, 개인 키 및 PFX 파일에 대한 링크가 있습니다. PFX 파일의 비밀번호는 “dell”입니다. (인증서 자체는 eDellRoot.crt 파일에 있습니다. 무엇을 하고 있는지 모른다면 PFX 파일을 가져오지 마세요. 편의를 위해 포함했습니다.) 만약 당신의 것이 eDellRoot 인증서와 함께 제공되었다면, 그 지문은 아마도: ``` 98:A0:4E:41:63:35:77:90:C4:A7:9E:6D:71:3F:F0:AF:51:FE:69:27

그리고 일련 번호: 6b:c5:7b:95:18:93:aa:97:4b:62:4a:c0:88:fc:3b:b6

``` 델이 고객들로부터 받은 반발에도 불구하고 이런 일을 했다는 것이 안타깝고, 그들이 이 문제를 신속하게 해결하기를 진심으로 바랍니다. 더 많은 사람들이 알고 목소리를 내면, 더 빨리 해결될 것입니다. 이 인증서가 델 컴퓨터 회사에서 온 것인지 여부는 알려져 있지 않습니다. 모든 루트 인증서는 항상 자체 서명되므로 eDellRoot는 eDellRoot가 합법적인 인증서라고 말합니다. 그러나 컴퓨터에 개인 키가 기록되어 있는 것은 나쁩니다. 로터카우보이는 트위터에서 델에 연락했고 @DellCares는 이것이 신뢰할 수 있는 인증서라고 말합니다. > @DellCares 이것은 주요 보안 문제입니다. 특히 귀하의 고객 모두가 자신의 기계에 정확히 동일한 CA를 가지고 있기 때문입니다. (1) — Kevin Hicks (@rotorcowboy) 2015년 11월 22일 이것이 단지 루트 수준 CA일 뿐이며 슈퍼피시와 같은 전체 수준의 스파이웨어가 아니라는 사람들을 위해, 로터카우보이는 “많은 사람들이 이 CA가 실제로 아무것도 할 수 없다고 회의적이라는 것을 읽었습니다. CA는 기능이 없기 때문입니다. 나는 좀 더 연구를 했고 이 CA가 실제로 서버 인증서에 서명할 수 있다는 것을 발견했습니다. 위의 파일 목록을 업데이트하여 CA에서 발급한 인증서 파일 이름 “badgoogle.crt”를 포함했습니다. 이는 이 스크린샷에서도 볼 수 있습니다. 이 작동 방식에 익숙하지 않은 분들을 위해, 네트워크 공격자는 이 CA를 사용하여 실제 웹사이트에서 사용할 자신의 가짜 인증서에 서명할 수 있으며, 영향을 받은 델 사용자는 웹사이트의 인증서 체인을 확인하지 않는 한 아무것도 모를 것입니다. 이 CA는 사람들의 기계에서 실행할 코드를 서명하는 데에도 사용될 수 있지만, 나는 아직 이것을 테스트하지 않았습니다.” 델은 지금까지 이 문제에 대해 언급하지 않았습니다. 우리는 델에 그들의 의견을 요청하고 있습니다. 그동안 델 PC/노트북 소유자는 로터카우보이가 제시한 방법에 따라 자신의 PC/노트북에 악성 인증서가 있는지 확인해 주시기 바랍니다.