Dell Security漏洞在预先安装的软件上regignite辩论
在Dell PC上发货的可能有两个易受攻击的安全证书的发现已经在预先安装的软件上重新划分了辩论。
辩论于2015年2月提出,当时联想被发现超级安装的adwarethat通过使用自签名根本HTTPS证书使客户易受伤害的Tohtptpsman-In-MiddleatTack。
戴尔也一直在使用自签名的根证书作为支持工具的一部分,提供信息,使其客户更快,更容易为其服务提供服务,但像超级鱼一样,Edellroot证书引入了重要的安全漏洞。
但戴尔在博客文章中强调,EdellRoot证书不是恶意软件或广告软件,并且不会用于收集个人客户信息。
安全专家警告说,攻击者可以通过使用黑客工具来提取证书包含的私钥来轻松克隆这些证书,以使任何HTTPS保护的网站冒充或冒充戴尔,这将使攻击者能够窃取个人数据,安装数据窃取恶意软件或劫持PC作为僵尸网络的一部分。
戴尔通过发布关于如何删除漏洞的指南,在Reddit上由Kevin Hicks(Aka Rotorcowboy)上标记了漏洞,返回漏洞的指南。该公司还表示,它将发出一个软件更新以删除证书。
但是,笔记本电脑MOT声称已经发现了一个名为DSDTestProvider的第二个自签名证书,该证书还包含最近制作Dell XPS 13的私钥。
戴尔随后通过释放修复程序来回复,报告BBC。该公司表示,第二个问题影响了在2015年10月20日和2015年11月20日之间下载其Dell系统检测产品的用户,并且未在计算机上预先安装。
戴尔表示,一旦发现问题并提供替代申请,将从其网站中取出该产品。
“一些戴尔笔记本电脑用至少一个,现在可能的两个戴尔笔记本电脑的消息表示,流氓根证书在铺设工厂操作系统映像的过程中占据了消费者使用的过程中的潜在安全性故障,”安全工程说安全公司Rapid7的经理7。
他敦促用户联系他们的支持代表,了解有关如何删除这些恶意证书的说明。
“用户依赖于操作系统的工厂图像默认相当安全;从原始来源重新安装操作系统的行为通常超出了平均最终用户的技术能力,“Beardsley说。
Cyber Security公司Webroot的威胁研究高级经理David Kennerley表示,尽管联想超级鱼丑闻,预安装自签名证书是常见的。
“一些制造商可选择未安装这些产品,但在选择退出之前您必须了解此类软件。
“无论是不需要的广告软件还是自签名的根证书颁发机构,消费者都应该采取预防措施来了解谁在自己的设备上观看并采取必要的安全行动,”他说。
根据安全情报公司挪威数据开发副总裁安德鲁·卢旺曼的说法,任何企业都应该在交付时重新加载他们的操作系统,而不是默认情况下使用来自工厂的内容。
“至于保护,所有企业都应在网络和设备上阻止戴尔证书颁发机构。从笔记本电脑和台式机卸载证书颁发机构应该是政策更新的问题,“他说。
戴尔已经证实,在没有戴尔基金会服务的情况下重新成像其系统的商业客户不受此问题的影响。安全公司Tripwire的研究人员发布了一个免费的工具,使戴尔用户能够测试Edellroot证书。
安全公司Certivox的首席执行官Brian Spector表示,该问题再次表明,商业数字证书业一般被破坏,需要更换。
“这个最新事件只是许多人中的一个,商业证书颁发机构作为单一信任点的地位导致严重问题,”他说。
“在短期内,戴尔应立即停止使用此根证书提供设备。从长远来看,科技产业必须意识到,由于持有根关键的实体可能对与最终用户的信任关系产生这种不利影响,因此TECPKI [公钥基础架构] ISN“T符合目的。”
根据旨在的说法,最好的事情就是重点。“需要建立一个新的分布式信任范例,取代了失败的单点模型。我们目前正在与一小组有影响力的合作伙伴合作,使将未来推向,并欢迎其他人进入我们的集体努力,”他说。