戴尔电脑预装证书问题引关注，或致个人数据泄露风险

戴尔电脑预装证书问题引关注，或致个人数据泄露风险

戴尔迅速采取行动，修复了其计算机中的根级证书问题，该问题与可能允许攻击者拦截加密个人数据的问题类似。

发现戴尔计算机预装了该证书和私钥，更糟糕的是，所有戴尔笔记本电脑都附带该证书。

SANS 技术研究公司总裁表示，该证书充当值得信赖的根证书颁发机构 (CA)，而戴尔提供密钥，几乎任何人都可以创建签名和验证的证书。

“我可以为戴尔创建一个证书，用戴尔的密钥进行签名，所有受影响的戴尔笔记本电脑都会信任我的证书，”他说。“这也可以用于签署软件，因为 CA 被定义为可用于任何目的，而一些 CA 只能用于特殊目的。”

该证书极其危险，因为除非用户以特定方式删除该文件，否则该文件将在每次系统重启后重新安装。

今年早些时候，联想电脑被发现预装了广告软件。该证书由攻击者签名并控制，因此它可以将广告注入联想电脑。然而，该软件还安装了自签名的根级 HTTPS 证书，该证书会拦截用户访问的每个网站的加密流量。

据该公司安全研究员 Craig Young 称，诸如 之类的根证书的存在。

“SSL 依赖于信任网络，其中包括主要证书颁发机构以及个人网站，”Young 解释道。“当远程服务器提供由受信任的证书颁发机构签署的安全证书时，Web 浏览器和其他系统软件会假定连接是私密的。如果攻击者知道受信任 CA 的公钥和私钥，他们可能能够拦截所有私人通信。”

杨表示，利用该根证书发起的中间人攻击可能给用户带来巨大风险。

“如果受害者的计算机信任假 CA，攻击者就可以窃取密码、电子邮件、信用卡号，甚至用恶意软件替换下载的软件或更新，”Young 说。“通常，这种类型的攻击会导致浏览器弹出一个插页，例如一个红色的 X，警告用户即将发生危险。攻击者可以生成受害者计算机可以信任的证书，从而完全破坏 HTTPS 和其他基于 SSL 的服务提供的保护。”

Young 甚至创建了一个测试页面，让用户测试自己的系统是否被感染。如果计算机在点击链接后没有显示警告页面，则表示系统信任该证书。

戴尔迅速发布指南和自动化工具来帮助用户删除该证书，并试图解释为什么该证书预装在其设备上。

戴尔发言人 Laura P. 在一篇博文中写道：“该证书不是恶意软件或广告软件，其目的是为戴尔在线支持提供服务凭单，使我们能够快速识别计算机型号，从而让我们能够更轻松、更快速地为客户提供服务。该证书不用于收集个人客户信息，同样需要注意的是，使用推荐的戴尔程序正确删除证书后，证书将无法重新安装。”

应用和威胁情报总监史蒂夫称赞戴尔在初始报告发布后 24 小时内发布了补丁。

“他们仍需要做大量的公关工作，向客户解释他们如何审核和控制预装应用程序，以重新获得客户的信任，”他说。“主要问题是许多人在购买计算机后并不知道他们已安装根 CA。我不知道戴尔将如何彻底解决这个问题。”

该公司援引戴尔关于“止血”的声明称，这种事情根本就不应该发生。

“从本质上讲，他们创建了一个可以被他人利用的庞大后门。这类似于添加一个带有默认用户名和密码的支持管理员帐户。虽然戴尔可能不会使用它来下载用户的机密文件，但其他人可能会，”他说。“我还没有看到戴尔与受影响的客户进行任何积极接触，这些证书需要尽快删除，以避免任何可能利用此问题造成额外损害的恶意软件。”