還記得 2015 年 2 月聯想爆發部分筆電機型預載 Superfish 惡意廣告軟體事件,自行簽發安全憑證蒙騙瀏覽器,綁架合法連線,並使得駭客可輕易進行中間人攻擊。無獨有偶,戴爾新筆電也爆發類似的安全問題,戴爾部分筆電預裝的安全評證讓駭客可容易模仿 Google、銀行體系等任何以 HTTPS 保護的網站。
23 日戴爾被爆出部分筆電預裝了非正統 SSL 憑證--eDellRoot,而該憑證出現安全漏洞,駭客可透過根憑證(root certificate),來創建任何網站的合法憑證,駭客可透過這樣的途徑解鎖加密通信、進行中間人攻擊,惡搞、偽裝成 Google、Yahoo 等熱門網站,或銀行、購物網站等任何網站蒙騙使用者,使用者無疑暴露於危機之中。且由於基於 TLS 安全協議,瀏覽器對於本端安裝的憑證可不需公鑰(key pinning)的保護,因此即便 HTTP 的 Public Key Pinning(HPKP)機制,也無法防止這類攻擊。
事件爆發的起因,是一名自述為軟體工程師的 Joe Nord,在 22 日發現自己新買的戴爾筆電,預裝了 eDellRoot 憑證,該憑證被允許用於所有目的,且效期直到 2039 年,進一步查詢,該憑證竟有對應的私鑰,Joe Nord 認知在一般使用者的電腦,不該會有這樣的情形發生,而該私鑰雖標記為不可導出,然任何人只要有辦法取得這組私鑰,即可以偽造憑證造訪任何網站,即便該網站為問題網站,使用者也會誤以為這是安全網站。
▲ 戴爾用戶 Joe Nord 於 Windows 檔案總管當中發現 eDellRoot 憑證。(Source: Joe Nord)
▲ eDellRoot 憑證詳細內容。(Source: Joe Nord)
戴爾這項事件不免也讓人聯想到 2015 年 2 月聯想電腦才爆發的預裝惡意廣告軟體事件,聯想電腦當時被爆出在筆電預載 Superfish/Visual Discovery 廣告軟體,該軟體除會持續彈出廣告,還會自行簽發安全憑證,可冒充合法網站憑證,致使使用者誤將問題網站視為安全網站,駭客可輕易透過憑證進行中間人攻擊。
事件爆發後,戴爾坦承了這項安全漏洞,承認在今年八月開始加載該憑證於消費與商用裝置,設置 eDellRoot 憑證的目的,是為加速線上支援協定體驗,並強調沒有預裝任何廣告或惡意軟體。
戴爾發言體系指出,客戶的隱私與資訊安全是公司最關心的問題,並且將此問題擺在第一位,強調未來在戴爾系統中將卸載該項憑證,而目前有預載該項憑證的電腦,將以電子郵件直接向客戶說明,並協助其由自己的電腦系統永久刪除該憑證。
據國外網路安全部落格 threatpost 與科技網站 Ars Technica 消息,包含戴爾 XPS 15 筆電與 Inspiron 系列筆電與桌機皆預載了該憑證, Ars Technica 還指出,部分 Precision M4800 工作站與 Latitude 機型也同樣有這個漏洞。
- Dell admits preinstalling root certificate and pledges to remove it
- DELL COMPUTERS SHIP WITH ROOT CERT, PRIVATE KEY
- Dell does a Superfish, ships PCs with easily cloneable root certificates
- New Dell computer comes with a eDellRoot trusted root certificate
延伸閱讀
更多關於 liu milo 的文章 (所有文章)
- 4 吋 iPhone 新機真要來了?影片流出、高層回應透玄機 - 2016-01-23
- 蘋果 iPhone 支援傳輸比 Wi-Fi 快百倍的 Li-Fi 不遠了? - 2016-01-20
- 專利曝光,Google 要做摺疊相機? - 2016-01-14
