今年早些時候，聯(lián)想電腦被發(fā)現(xiàn)預(yù)裝了Superfish廣告程序，這款軟件會增加用戶受到黑客攻擊的風(fēng)險，一時引發(fā)了大量討論，而最近，Duo實(shí)驗(yàn)室的安全研究人員在戴爾Inspiron 14筆記本中發(fā)現(xiàn)了一些奇怪的證書，這些證書同樣會增加用戶受到黑客攻擊的風(fēng)險。

[[157178]]

研究人員的發(fā)現(xiàn)

研究人員在戴爾電腦上發(fā)現(xiàn)兩個證書，包括一款被信任的eDellRoot根證書

使用了這些證書的系統(tǒng)中的一個提供HTTPS web服務(wù)的系統(tǒng)是一個SCADA (supervisory control and data acquisition,監(jiān)控和數(shù)據(jù)采集)系統(tǒng)。

eDellRoot預(yù)裝的時候有關(guān)聯(lián)的私鑰，這是個大錯誤

調(diào)查表明，戴爾有意地在其他型號中預(yù)裝相同的私鑰。

也就是說，攻擊者可以嗅探戴爾用戶的流量，還可以修改他們的流量傳播惡意軟件。

研究人員還在戴爾電腦上發(fā)現(xiàn)了另一個證書問題——在藍(lán)牙管理軟件中發(fā)現(xiàn)了Atheros Authenticode證書

影響

如果用戶在咖啡店里使用戴爾筆記本電腦，處在同一wifi網(wǎng)絡(luò)的攻擊者就可以嗅探所有TLS加密的流量了，攻擊者可以從而獲取諸如銀行卡密碼、電子郵件等的敏感數(shù)據(jù)。

攻擊者還可以篡改用戶的流量，如當(dāng)用戶要下載某款正規(guī)軟件或者安裝自動更新時，攻擊者可以對流量進(jìn)行篡改，從而使用戶下載到惡意軟件，并且攻擊者還可以讓軟件看起來是由可信的開發(fā)者簽名的。

Atheros Authenticode證書

戴爾電腦中不僅僅包含eDellRoot這款證書，電腦的藍(lán)牙管理軟件中包含一個名叫‘Verisign.pfx’的文件，單看這個名字就可以看出些端倪。

這個.pfx文件需要密碼才能打開，團(tuán)隊(duì)用了次優(yōu)的云端只花了6小時就破解出了密碼，密碼是‘t-span’。

結(jié)果發(fā)現(xiàn)，藍(lán)牙管理軟件中還有個Atheros簽名證書。這款證書是用來對系統(tǒng)預(yù)裝的四個藍(lán)牙驅(qū)動進(jìn)行簽名的：

btath_hcrp.sys

btath_lwflt.sys

btath_pan.sys

bthathfax.sys

所幸的是，這款證書于3/31/2013過期，也就沒有濫用的可能了。

影響機(jī)型

至少以下三款戴爾筆記本中存在自簽名密鑰：

戴爾Inspiron 5000系列筆記本電腦

戴爾XPS 15

戴爾XPS 13

現(xiàn)在市面上的大量戴爾筆記本都應(yīng)該中招了，特別是最近的戴爾Inspiron桌面電腦，XPS，和Precision M4800、Latitude機(jī)型。

你中招了沒?

檢查你的電腦中是否有危險的證書：

1. 打開開始菜單

2. 選擇“運(yùn)行”

3. 在運(yùn)行框中輸入certmgr.msc，點(diǎn)擊回車

4. 在左側(cè)側(cè)邊欄中選擇”可信根證書頒發(fā)機(jī)構(gòu)”文件夾

5. 選擇“證書”

6. 搜索“eDellRoot”

如果你發(fā)現(xiàn)了eDellRoot證書，你可以右鍵選擇移除，但這樣看上去你把證書刪除了，但實(shí)際上并沒有。重啟電腦后重新打開證書管理器，你會驚喜地發(fā)現(xiàn)根證書又回來了。

官方回應(yīng)及修復(fù)方法

戴爾的發(fā)言人在一份聲明中稱，公司正在調(diào)查證書事件：

“戴爾高度關(guān)注客戶的安全和隱私，我們的團(tuán)隊(duì)正在調(diào)查此事件，有更多信息我們會盡快通知大家.”

隨后，戴爾發(fā)布了官方的證書移除指導(dǎo)和移除工具。

附上兩款證書下載：DellCertificates.zip