Após a Lenovo, agora PCs e Laptops Dell estão sendo enviados com CA de nível root malicioso

Dell envia laptops com CA root malicioso, exatamente como aconteceu com a Lenovo e o Superfish

Parece que a reação dos usuários contra o bloatware Superfish enviado com os PCs e Laptops da Lenovo não desmotivou outros fabricantes a instalar bloatware semelhante pré-instalado. A Dell é mais um desses grandes fabricantes que estão enviando PCs e Laptops com esse tipo de bloatware malicioso pré-instalado.

Um usuário do Twitter, Joe Nord, descobriu que os PCs e Laptops da Dell são enviados com um certificado root de nível malicioso.

Computador novo, “eDellRoot” na lista de certificados root confiáveis. Válido até 2039. Não é uma boa sensação. pic.twitter.com/HqpatkwrSZ — Joe Nord (@jhnord) 2 de novembro de 2015

Nord fez uma postagem na web descrevendo o eDellRoot. Ele diz que, embora as ações realizadas pelo eDellRoot não sejam conhecidas no momento, podem estar na mesma categoria do Superfish. Ele afirma: “o certificado eDellRoot é um root confiável que expira em 2039 e é destinado a “Todos” os propósitos. Note que isso é mais poderoso do que o certificado DigiCert claramente legítimo logo acima, o que gera mais curiosidade.”

O problema com essa CA de nível root malicioso é que não se sabe quais atividades de espionagem ela realizará, ao contrário do Superfish na Lenovo, que era conhecido por injetar adware nos PCs e Laptops da Lenovo sem o consentimento dos usuários.

Nord estudou ainda mais o certificado e afirmou que “Você tem uma chave privada que corresponde a este certificado”. Isso está ficando muito suspeito! Como usuário de computador, eu NUNCA deveria ter uma chave privada que correspondesse a uma CA root. Somente o computador que emite o certificado deve ter uma chave privada e esse computador deve ser… muito bem protegido!”

“Essa é a mesma ação que existia com o Superfish e, nesse caso, a Lenovo tomou a ação tremendamente horrível de usar a MESMA chave privada em todos os computadores. A Dell fez o mesmo?”

Outro usuário, Rotorcowboy, fez um extenso tópico no Reddit sobre a CA de nível root malicioso. A postagem inteira é reproduzida abaixo:

Eu comprei um novo laptop XPS 15 da Dell, e enquanto tentava solucionar um problema, descobri que ele veio pré-carregado com uma CA root autoassinada chamada eDellRoot. Junto com ela veio sua chave privada, marcada como não exportável. No entanto, ainda é possível obter uma cópia bruta da chave privada usando várias ferramentas disponíveis (usei a ferramenta Jailbreak do NCC Group). Depois de discutir brevemente isso com outra pessoa que também havia descoberto isso, determinamos que eles estão enviando todos os laptops que distribuem com o exato mesmo certificado root e chave privada, muito semelhante ao que o Superfish fez nos computadores Lenovo. Para aqueles que não estão familiarizados, isso é uma grande vulnerabilidade de segurança que coloca em risco todos os clientes recentes da Dell. Certamente a Dell teve que ter visto que tipo de má publicidade a Lenovo recebeu quando as pessoas descobriram o que o Superfish estava fazendo. No entanto, decidiram fazer a mesma coisa, mas pior. Isso nem é um aplicativo de terceiros que o colocou lá; é do próprio bloatware da Dell. Para piorar a situação, nem mesmo é aparente qual é o propósito do certificado. Pelo menos com o Superfish sabíamos que sua CA root maliciosa era necessária para injetar anúncios em suas páginas da web; a razão pela qual a da Dell está lá não é clara. Se você comprou recentemente um computador Dell e quer ver se está afetado por isso, vá para Iniciar -> digite “certmgr.msc” -> (aceite no prompt UAC) -> Autoridades de Certificação Raiz Confiáveis -> Certificados e verifique se você tem uma entrada com o nome “eDellRoot”. Se sim, parabéns, você foi comprometido pela Dell, a própria empresa pela qual você pagou pelo seu computador! Aqui está um link para o certificado, chave privada e arquivo PFX para o certificado que encontrei na minha máquina. A senha para o arquivo PFX é “dell”. (O certificado em si está no arquivo eDellRoot.crt. NÃO importe o arquivo PFX a menos que você saiba o que está fazendo. Eu apenas o incluí por conveniência.) Se o seu veio com o certificado eDellRoot, sua impressão digital provavelmente será: 98:A0:4E:41:63:35:77:90:C4:A7:9E:6D:71:3F:F0:AF:51:FE:69:27 E seu número de série: 6b:c5:7b:95:18:93:aa:97:4b:62:4a:c0:88:fc:3b:b6 É decepcionante que a Dell tenha feito isso apesar da reação negativa que a Lenovo enfrentou de seus clientes e do Departamento de Segurança Interna dos EUA, e realmente espero que eles façam algo rapidamente para corrigir isso. Quanto mais pessoas souberem e se manifestarem, mais rápido isso acontecerá.

Não se sabe se este certificado veio da Dell Computer Corporation. Todos os certificados root são sempre autoassinados, então o eDellRoot diz que o eDellRoot é um certificado legítimo. Mas ter uma chave privada registrada em um computador é ruim.

Rotorcowboy entrou em contato com a Dell no Twitter e @DellCares diz que é um certificado confiável.

@DellCares Isso é uma preocupação de segurança MAIOR, especialmente porque seus clientes têm todos a exata mesma CA em suas máquinas. (1) — Kevin Hicks (@rotorcowboy) 22 de novembro de 2015

Para aqueles que dizem que isso é apenas uma CA de nível root e não um spyware de nível total como o Superfish, rotorcowboy afirmou que “Eu tenho lido que muitas pessoas são céticas no sentido de que essa CA não pode realmente fazer nada porque a CA não tem capacidades. Eu fiz mais pesquisas e descobri que essa CA pode de fato assinar certificados de servidor. Atualizei a lista de arquivos acima para incluir um certificado emitido pela CA com o nome de arquivo “badgoogle.crt”, que você também pode ver nesta captura de tela. Para aqueles que não estão familiarizados com como isso funciona, um atacante de rede poderia usar essa CA para assinar seus próprios certificados falsos para uso em sites reais e um usuário Dell afetado não perceberia, a menos que verificasse a cadeia de certificados do site. Essa CA também poderia ser usada para assinar código para ser executado nas máquinas das pessoas, mas ainda não testei isso.”

A Dell até agora não comentou sobre o problema. Estamos entrando em contato com a Dell para obter seus comentários. Enquanto isso, se você é proprietário de um PC/Laptop Dell, é solicitado que verifique se seu PC/Laptop possui o certificado malicioso conforme o método dado por Rotorcowboy.