После Lenovo теперь ПК и ноутбуки Dell поставляются с вредоносным корневым сертификатом CA

Dell поставляет ноутбуки с вредоносным корневым CA, точно так же, как это произошло с Lenovo и Superfish

Похоже, что негативная реакция пользователей на программное обеспечение Superfish, поставляемое с ПК и ноутбуками Lenovo, не остановила других производителей от установки аналогичного предустановленного ПО. Dell является еще одним из таких крупных производителей, которые, как оказалось, поставляют ПК и ноутбуки с предустановленным таким вредоносным ПО.

Пользователь Twitter, Джо Норд, обнаружил, что ПК и ноутбуки Dell поставляются с вредоносным корневым сертификатом.

Новый компьютер, “eDellRoot” в списке доверенных корневых сертификатов. Действителен до 2039 года. Неприятное чувство. pic.twitter.com/HqpatkwrSZ — Joe Nord (@jhnord) 2 ноября 2015 года

Норд сделал веб-пост, описывающий eDellRoot. Он говорит, что хотя действия, выполняемые eDellRoot, в настоящее время неизвестны, они могут быть в той же категории, что и Superfish. Он говорит: “сертификат eDellRoot является доверенным корнем, который истекает в 2039 году и предназначен для “всех” целей. Обратите внимание, что это более мощно, чем явно легитимный сертификат DigiCert, который находится чуть выше, что вызывает еще большее любопытство.”

Проблема с этим вредоносным корневым CA заключается в том, что неизвестно, какие шпионские действия он будет выполнять, в отличие от Superfish в Lenovo, который был известен тем, что внедрял рекламное ПО в ПК и ноутбуки Lenovo без согласия пользователей.

Норд далее изучил сертификат и заявил, что “у вас есть закрытый ключ, который соответствует этому сертификату”. Это становится очень подозрительным! Как пользователь компьютера, я НИКОГДА не должен иметь закрытый ключ, который соответствует корневому CA. Только компьютер, выдающий сертификат, должен иметь закрытый ключ, и этот компьютер должен быть… очень хорошо защищен!”

“Это то же самое действие, которое существовало с Superfish, и в этом случае Lenovo совершила ужасное действие, использовав ТОТ ЖЕ закрытый ключ на каждом компьютере. Сделал ли Dell то же самое?”

Другой пользователь, Rotorcowboy, создал подробную тему на Reddit о вредоносном корневом CA. Весь пост воспроизведен ниже:

Я получил новый ноутбук XPS 15 от Dell, и во время попытки устранить проблему я обнаружил, что он поставляется с предустановленным самоподписанным корневым CA под названием eDellRoot. С ним пришел его закрытый ключ, помеченный как неэкспортируемый. Тем не менее, все еще возможно получить сырой копию закрытого ключа, используя несколько доступных инструментов (я использовал инструмент Jailbreak от NCC Group). После краткого обсуждения этого с кем-то другим, кто тоже это обнаружил, мы пришли к выводу, что они поставляют каждый ноутбук, который они распространяют, с точно таким же корневым сертификатом и закрытым ключом, очень похоже на то, что делал Superfish на компьютерах Lenovo. Для тех, кто не знаком, это серьезная уязвимость безопасности, которая ставит под угрозу всех недавних клиентов Dell. Конечно, Dell должно было видеть, какую плохую прессу получила Lenovo, когда люди обнаружили, чем занимался Superfish. Тем не менее, они решили сделать то же самое, но хуже. Это даже не стороннее приложение, которое поместило его туда; это из самого вредоносного ПО Dell. Вдобавок к этому, даже не очевидно, для чего нужен этот сертификат. По крайней мере, с Superfish мы знали, что их вредоносный корневой CA был необходим для внедрения рекламы в ваши веб-страницы; причина, по которой сертификат Dell там, неясна. Если вы недавно купили компьютер Dell и хотите узнать, затронуты ли вы этим, перейдите в Пуск -> введите “certmgr.msc” -> (примите запрос UAC) -> Доверенные корневые центры сертификации -> Сертификаты и проверьте, есть ли у вас запись с именем “eDellRoot”. Если да, поздравляю, вы стали жертвой Dell, той самой компании, за которую вы заплатили за ваш компьютер! Вот ссылка на сертификат, закрытый ключ и файл PFX для сертификата, который я нашел на своем компьютере. Пароль для файла PFX — “dell”. (Сама сертификат находится в файле eDellRoot.crt. НЕ импортируйте файл PFX, если вы не знаете, что делаете. Я просто включил его для удобства.) Если ваш компьютер пришел с сертификатом eDellRoot, его отпечаток, вероятно, будет: ``` 98:A0:4E:41:63:35:77:90:C4:A7:9E:6D:71:3F:F0:AF:51:FE:69:27

А его серийный номер: 6b:c5:7b:95:18:93:aa:97:4b:62:4a:c0:88:fc:3b:b6

``` Это огорчает, что Dell сделала это, несмотря на негативную реакцию, которую испытала Lenovo от своих клиентов и Министерства внутренней безопасности США, и я действительно надеюсь, что они быстро что-то сделают, чтобы исправить это. Чем больше людей узнает и высказывается, тем быстрее это произойдет. Неизвестно, пришел ли этот сертификат от Dell Computer Corporation. Все корневые сертификаты всегда самоподписаны, поэтому eDellRoot говорит, что eDellRoot является легитимным сертификатом. Но наличие закрытого ключа, зарегистрированного на компьютере, — это плохо. Rotorcowboy связался с Dell в Twitter, и @DellCares говорит, что это доверенный сертификат. > @DellCares Это СЕРЬЕЗНАЯ проблема безопасности, особенно потому, что у ваших клиентов на машинах установлен точно такой же CA. (1) — Кевин Хикс (@rotorcowboy) 22 ноября 2015 года Для тех, кто говорит, что это просто корневой CA и не полноценное шпионское ПО, как Superfish, rotorcowboy заявил, что “Я читал, что многие люди скептически относятся к тому, что этот CA не может ничего сделать, потому что CA не имеет никаких возможностей. Я провел дополнительные исследования и выяснил, что этот CA действительно может подписывать серверные сертификаты. Я обновил список файлов выше, чтобы включить сертификат, выданный CA с именем файла “badgoogle.crt”, который вы также можете увидеть на этом скриншоте. Для тех, кто не знаком с тем, как это работает, сетевой атакующий может использовать этот CA для подписания своих собственных поддельных сертификатов для использования на реальных веб-сайтах, и затронутый пользователь Dell не будет в курсе, если только он не проверит цепочку сертификатов веб-сайта. Этот CA также может быть использован для подписания кода для выполнения на машинах людей, но я еще не тестировал это.” Dell до сих пор не прокомментировала эту проблему. Мы обращаемся к Dell за их комментариями. Тем временем, если вы являетесь владельцем ПК/ноутбука Dell, вам рекомендуется проверить, есть ли у вашего ПК/ноутбука вредоносный сертификат в соответствии с методом, предложенным Rotorcowboy.