Dell wyjaśnia, jak usunąć z jego komputerów groźną lukę, którą sam do nich wprowadził

Afera z oprogramowaniem instalowanym przez Lenovo na jegolaptopach, które można by uznać za szpiegowskie, uczuliłaużytkowników na to, co do Windowsa dodają od siebie producenci.Przypomnijmy: wiele modeli z serii IdeaPad było dostarczanychz aplikacją SuperFish, zawierającą certyfikat SSL, który byłwykorzystany do ataków man-in-the-middle na połączenia HTTPS, bywstrzykiwać w wyniki wyszukiwania reklamy. Teraz mówi się, żepodobne atrakcje zaoferował swoim klientom Dell.

Niepokojące działania amerykańskiej firmy zostały odkryteprzez programistę Joe Norda, który jak sampisze, niedawno kupił laptopa Dell Inspiron 5000. Poskonfigurowaniu systemu zauważył, że w systemie znalazł sięzaufany certyfikat Della o nazwie eDellRoot. Pobieżna analizapokazała, że wygasa on dopiero w 2039 roku i przeznaczony jest dowszelkich zastosowań. Jego waga jest więc na poziomie własnychcertyfikatów Microsoftu, takich jak Microsoft Root Authority. Po coDellowi bycie zaufanym urzędem certyfikacyjnym do wszystkiego?

Zaglądając do detali, Nord zauważył coś jeszcze bardziejniepokojącego. Certyfikatowi eDellRoot towarzyszył powiązany z nimklucz prywatny, którego na pewno na sprzedawanym w sklepachkomputerze być nie powinno. Sam klucz był oznaczony jakonieeksportowalny, co jednak nie jest przeszkodą, by go pozyskać –sam odkrywca sięgnął po metodęzastosowaną już wcześniej na laptopach Lenovo.

Jednej rzeczy w porównaniu do sytuacji z Lenovo tu brakowało –skonfigurowanego proxy,przeznaczonego do ataku man-in-the-middle na ruch internetowy. Niechodziło więc raczej o wstrzykiwanie reklam, o co więc, i komu?To, że certyfikat nazywa się eDellRoot i twierdzi, że pochodzi odDell Computer Corporation nie oznacza nic ponadto, że certyfikat takwłaśnie twierdzi – w końcu sam dla siebie jest zaufanym rootem.

Dell właśnie przedstawił swoje oficjalne stanowisko. Tofaktycznie jego certyfikat, który zarazem stanowi ogromne zagrożeniedla posiadaczy najnowszych (sprzedawanych od sierpnia) laptopów tejfirmy. Wprowadzono go w dobrej wierze, miał służyć *lepszemu,szybszemu i łatwiejszemu *wsparciutechnicznemu. Niestety wprowadził oprócz tego niezamierzonąpodatność na atak. Firma przyznaje, że obecność eDellRoot możepozwolić napastnikom na przekierowywanie ruchu sieciowego ofiar czyodczytywać ich szyfrowaną komunikację, np. z bankiem internetowym,np. nasłuchując ruch w otwartej sieci Wi-Fi. Można też wysłaćofierze złośliwe oprogramowanie, wyglądające jakby pochodziło odzaufanego dostawcy.

Jeśli macie laptop Della ichcecie sprawdzić, czy jesteście zagrożeni, polecamy skorzystaćze strony testowej edell.tlsfun.de.Sama firma uchyliła się od ujawnienia, które konkretnie modelejego komputerów są na atak podatne. Poinformowano jedynie, żedotkniętym problemem klientom zaoferowana zostanie metoda usunięciaproblematycznego certyfikatu, zaś w nowym sprzęcie eDellRoot jużnie będzie.

Problem w tym, że nie jest towcale łatwe dla typowego użytkownika – w systemie znajduje sięteż wtyczka o nazwie Dell.Foundation.Agent.Plugins.eDell.dll, którareinstaluje certyfikat, jeśli zostałby on usunięty. Na serwerachDella pojawiła się już łatka, ale najwyraźniej jej działanie nie jest gwarantowane, gdyż opublikowano też 11-stronicowydokument (notabene w formacie DOCX), opisujący krok po kroku,jak rozwiązać problem. My możemy jedynie zalecić dotkniętymzagrożeniem usunięcie certyfikatu zgodnie z opisaną tam procedurą.