今年早些時候，聯(lián)想電腦被發(fā)現(xiàn)預裝了Superfish廣告程序，這款軟件會增加用戶受到黑客攻擊的風險，一時引發(fā)了大量討論，而最近，Duo實驗室的安全研究人員在戴爾Inspiron 14筆記本中發(fā)現(xiàn)了一些奇怪的證書，這些證書同樣會增加用戶受到黑客攻擊的風險。

[[157178]]

研究人員的發(fā)現(xiàn)

研究人員在戴爾電腦上發(fā)現(xiàn)兩個證書，包括一款被信任的eDellRoot根證書

使用了這些證書的系統(tǒng)中的一個提供HTTPS web服務的系統(tǒng)是一個SCADA (supervisory control and data acquisition,監(jiān)控和數(shù)據(jù)采集)系統(tǒng)。

eDellRoot預裝的時候有關聯(lián)的私鑰，這是個大錯誤

調查表明，戴爾有意地在其他型號中預裝相同的私鑰。

也就是說，攻擊者可以嗅探戴爾用戶的流量，還可以修改他們的流量傳播惡意軟件。

研究人員還在戴爾電腦上發(fā)現(xiàn)了另一個證書問題——在藍牙管理軟件中發(fā)現(xiàn)了Atheros Authenticode證書

影響

如果用戶在咖啡店里使用戴爾筆記本電腦，處在同一wifi網(wǎng)絡的攻擊者就可以嗅探所有TLS加密的流量了，攻擊者可以從而獲取諸如銀行卡密碼、電子郵件等的敏感數(shù)據(jù)。

攻擊者還可以篡改用戶的流量，如當用戶要下載某款正規(guī)軟件或者安裝自動更新時，攻擊者可以對流量進行篡改，從而使用戶下載到惡意軟件，并且攻擊者還可以讓軟件看起來是由可信的開發(fā)者簽名的。

Atheros Authenticode證書

戴爾電腦中不僅僅包含eDellRoot這款證書，電腦的藍牙管理軟件中包含一個名叫‘Verisign.pfx’的文件，單看這個名字就可以看出些端倪。

這個.pfx文件需要密碼才能打開，團隊用了次優(yōu)的云端只花了6小時就破解出了密碼，密碼是‘t-span’。

結果發(fā)現(xiàn)，藍牙管理軟件中還有個Atheros簽名證書。這款證書是用來對系統(tǒng)預裝的四個藍牙驅動進行簽名的：

btath_hcrp.sys

btath_lwflt.sys

btath_pan.sys

bthathfax.sys

所幸的是，這款證書于3/31/2013過期，也就沒有濫用的可能了。

影響機型

至少以下三款戴爾筆記本中存在自簽名密鑰：

戴爾Inspiron 5000系列筆記本電腦

戴爾XPS 15

戴爾XPS 13

現(xiàn)在市面上的大量戴爾筆記本都應該中招了，特別是最近的戴爾Inspiron桌面電腦，XPS，和Precision M4800、Latitude機型。

你中招了沒?

檢查你的電腦中是否有危險的證書：

1. 打開開始菜單

2. 選擇“運行”

3. 在運行框中輸入certmgr.msc，點擊回車

4. 在左側側邊欄中選擇”可信根證書頒發(fā)機構”文件夾

5. 選擇“證書”

6. 搜索“eDellRoot”

如果你發(fā)現(xiàn)了eDellRoot證書，你可以右鍵選擇移除，但這樣看上去你把證書刪除了，但實際上并沒有。重啟電腦后重新打開證書管理器，你會驚喜地發(fā)現(xiàn)根證書又回來了。

官方回應及修復方法

戴爾的發(fā)言人在一份聲明中稱，公司正在調查證書事件：

“戴爾高度關注客戶的安全和隱私，我們的團隊正在調查此事件，有更多信息我們會盡快通知大家.”

隨后，戴爾發(fā)布了官方的證書移除指導和移除工具。

附上兩款證書下載：DellCertificates.zip