戴爾迅速采取行動(dòng)修復(fù)了其電腦中的根級(jí)證書問題，這個(gè)問題與Superfish類似，因?yàn)樗赡茉试S攻擊者攔截加密的個(gè)人數(shù)據(jù)。

[[157894]]

戴爾電腦被發(fā)現(xiàn)預(yù)裝了eDellRoot證書和私鑰，更糟的是，所有戴爾筆記本電腦都裝有這種證書。

SANS技術(shù)研究院長(zhǎng)Johannes Ullrich表示，eDellRoot證書作為受信任的根級(jí)證書頒發(fā)機(jī)構(gòu)(CA)，并且戴爾提供了密鑰，這幾乎允許任何人創(chuàng)建簽名和驗(yàn)證的證書。

“我可以為Google.com創(chuàng)建證書，使用戴爾密鑰簽名，然后所有受影響戴爾筆記本都會(huì)信任我的證書，”Ullrich表示，“這也可能用于簽名軟件，因?yàn)樵揅A被定義為可用于任何目的，而有些CA只可用于專門目的。”

這個(gè)eDellRoot證書非常危險(xiǎn)，該文件在系統(tǒng)重啟后都會(huì)重新安裝自身，除非用戶以特定方式移除它。

今年早些時(shí)候，聯(lián)想電腦被發(fā)現(xiàn)預(yù)裝了Superfish廣告軟件。該Superfish證書由Superfish簽名和控制，所以它可以注入廣告到聯(lián)想電腦。然而，Superfish還會(huì)安裝自簽名的根級(jí)HTTPS證書，可攔截用戶訪問的每個(gè)網(wǎng)站的加密流量。

根據(jù)Tripwire公司安全研究人員Craig Young表示，Superfish或eDellRoot等根級(jí)證書破壞了證書頒發(fā)機(jī)構(gòu)建立的信任鏈。

“SSL依靠信任網(wǎng)絡(luò)，這包括各大證書頒發(fā)機(jī)構(gòu)以及各個(gè)網(wǎng)站，”Young解釋說，“當(dāng)遠(yuǎn)程服務(wù)器提供受信任證書頒發(fā)機(jī)構(gòu)簽署的安全證書時(shí)，Web瀏覽器和其他系統(tǒng)軟件會(huì)認(rèn)為連接是專用連接。如果受信任CA的公鑰和私鑰被攻擊者獲知，他們可能可以攔截所有專用通信。”

Young表示，通過這種根級(jí)證書實(shí)現(xiàn)的中間人攻擊可能給用戶帶來巨大風(fēng)險(xiǎn)。

“如果受害者計(jì)算機(jī)信任假的CA，攻擊者可以竊取密碼、cookies、信用卡號(hào)碼，甚至用惡意軟件取代下載的軟件或更新，”Young表示，“通常情況下，這種類型的攻擊會(huì)導(dǎo)致瀏覽器彈出插播式廣告，例如紅色的X警告用戶即將出現(xiàn)的危險(xiǎn)。攻擊者可以生成讓受害者計(jì)算機(jī)信任的證書，這完全破壞了HTTPS和其他基于SSL服務(wù)提供的保護(hù)。”

Young甚至創(chuàng)建了測(cè)試頁(yè)面，讓用戶來測(cè)試其系統(tǒng)是否受感染。如果在點(diǎn)擊鏈接后計(jì)算機(jī)沒有顯示警告頁(yè)面，這意味著該系統(tǒng)信任eDellRoot證書。

戴爾已經(jīng)迅速采取行動(dòng)發(fā)布了指南和自動(dòng)工具來幫助用戶刪除該證書，并且還試圖解釋了為什么這種證書會(huì)預(yù)裝在其設(shè)備中。

“該證書并非惡意軟件或廣告軟件，它的目的是向戴爾在線支持提供服務(wù)標(biāo)簽，讓我們可以快速識(shí)別計(jì)算機(jī)型號(hào)，讓我們更方便更快捷地為廣大客戶提供服務(wù)，”戴爾發(fā)言人Laura P. Thomas在博客中寫道，“該證書沒有被用來收集客戶個(gè)人信息，同樣需要指出的是，該證書在使用推薦的戴爾程序正確刪除后不會(huì)重新安裝。”

Ixia公司應(yīng)用和威脅情報(bào)主管Steve McGregory贊揚(yáng)戴爾在初步報(bào)告發(fā)出的24小時(shí)內(nèi)發(fā)布了修補(bǔ)程序。

“他們?nèi)匀挥写罅康墓P(guān)工作要做，他們必須向其客戶說明他們?nèi)绾螌徍撕涂刂祁A(yù)裝應(yīng)用程序以重新獲得客戶的信任，”McGregory表示，“主要的問題是，很多人在購(gòu)買計(jì)算機(jī)后不知道他們電腦中安裝了根級(jí)CA，我不知道戴爾將如何全面修復(fù)這個(gè)問題。”

Ullrich在援引戴爾聲明中的“停止出血”的說法時(shí)稱，這種情況本來就不應(yīng)該發(fā)生。

“從本質(zhì)上來講，他們創(chuàng)建了一個(gè)巨大的后門，這可能被其他人利用。這類似于使用默認(rèn)用戶名和密碼增加了一個(gè)支持管理員賬戶。雖然戴爾可能不會(huì)用它來下載用戶的機(jī)密文件，但其他人可能會(huì)這樣做，”Ullrich表示，“我還沒有看到戴爾對(duì)受影響客戶的任何積極接觸，這些證書需要盡快移除，以避免任何惡意軟件可能利用該問題而制造額外的破壞。”