Superfish 2.0: Dell liefert Computer mit vorinstalliertem Root-Zertifikat aus

Dell hat eingeräumt, Computer mit einem selbst signierten Root-Zertifikat auszuliefern. Es stellt nach Angaben des Unternehmens, das damit Berichte mehrerer Blogger bestätigt, ein „unbeabsichtigtes Sicherheitsleck“ dar. Großkunden, die eigene System-Images einspielten, seien nicht betroffen. Dell habe außerdem weder Adware noch Malware vorinstalliert.

Ein selbst signiertes Root-Zertifikat könnte Dell beispielsweise benutzen, um mit HTTPS verschlüsselten Traffic zu entschlüsseln. Zu diesem Zweck hatte Lenovo bis Anfang des Jahres einige seiner Produkte mit einem solchen Zertifikat ausgestattet, allerdings im Zusammenspiel mit einer Adware namens Superfish Visual Discovery, die Inserate in Websites einschmuggelte.

„Sicherheit und Privatsphäre unserer Kunden hat bei Dell Priorität“, sagte eine Sprecherin des Computerherstellers. „Wir entfernen das Zertifikat ab sofort von allen Dell Systemen.“

Einer Analyse des deutschen Bloggers Hanno Böck zufolge hat Dell sein Root-Zertifikat mit dem Namen „eDellRoot“ dem Certificate Store seiner Systeme hinzugefügt. Es werde durch die Software Dell Foundation Services installiert, die Dell weiterhin auf seiner Website zum Download anbiete. Dells Beschreibung zufolge liefert die Software Funktionen für den Kundensupport.

„Jeder Angreifer kann das Root-Zertifikat benutzen, um gültige Zertifikate für beliebige Websites zu erstellen“, erläutert Böck. „Selbst HTTP Public Key Pinning (HPKP) schützt nicht vor solchen Angriffen, weil Browseranbieter lokal installierte Zertifikate erlauben, um den Key-Pinning-Schutz zu überschreiben. Das ist ein Kompromiss bei der Implementierung, der den Betrieb sogenannter TLS-Abfang-Proxies erlaubt.“

WEBINAR

Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert

Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.

Ähnlich kritisch äußerte sich der Citrix-Mitarbeiter Joe Nord in seinem Blog. Das eDellRoot-Zertifikat sei bis 2039 gültig und für „alle Zwecke“ zugelassen. Es sei damit „mächtiger“ als ein ebenfalls installiertes legitimes Root-Zertifikat von DigiCert. Zudem befinde sich auf den Dell-Rechnern auch noch ein „privater Schlüssel, der zu dem Zertifikat gehört“. „Der Computer eines Endnutzers sollte niemals einen privaten Schlüssel haben, der zu einem Root-Zertifikat passt. Nur der Computer, der das Zertifikat ausgestellt hat, sollte einen privaten Schlüssel haben – und sehr gut geschützt sein.“

Zusammen mit dem Nutzer Kevin Hicks konnte Nord zudem bestätigen, dass Dell für jeden mit dem Root-Zertifikat ausgestatteten Computer denselben privaten Schlüssel vergeben hat, der sich Hicks zufolge mit öffentlich verfügbaren Tools auslesen lässt. „Jeder, der den privaten Schlüssel auf meinem Computer kennt, kann Zertifikate für jede Website und für jeden Zweck ausstellen und der Computer wird automatisch und fälschlicherweise annehmen, dass das ausgestellte Zertifikat gültig ist“, so Nord weiter.

[Update 12.21 Uhr]

Dell zu den Vorwürfen folgende Stellungnahme veröffentlicht: “Das vorinstallierte Root-Zertifikat dient eigentlich nur dazu, Kunden besseren, schnelleren und einfacheren Support zu liefern. Unglücklicherweise führt es jedoch zu einer ungewollten Sicherheitslücke. Um das Problem zu adressieren, bieten wir unseren Kunden Anleitungen (eDellRootCertRemovalInstructions.docx), wie sie das Zertifikat dauerhaft von ihrem System entfernen können. Diese erhalten sie entweder direkt per E-Mail, über die zugehörige Support-Seite oder über den Technischen Support. Darüber hinaus werden wir das Root-Zertifikat auch von allen künftig ausgelieferten PCs entfernen. Wurde das Zertifikat einmal ordnungsgemäß von einem Rechner gelöscht, wird es sich auch nicht von selbst erneut installieren.”

[Update 12.34 Uhr]

Inzwischen gibt es für das von Dell ausgegebene Root-Zertifikat eine offizielle Vulnerability-Note (87061) des Computer Emergency Response Team (CERT) an der Carnegie Mellon University.

[mit Material von Asha Barbaschow, ZDNet.com]

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago