Dell entschuldigt sich für Zertifikat-Fail und bietet Uninstaller an

Logo, Dell, PC-Hersteller Bildquelle: Dell
Inzwischen ist auch der Computerkonzern Dell in die Schlagzeilen geraten, weil er Software auf seinen Geräten vorinstallierte, die die Sicherheit der Nutzer massiv beeinträchtigen kann. Ziemlich schnell kam das Unternehmen nun mit einer Entschuldigung daher.
Im dem vorliegenden Fall handelt es sich um ein eigenes Root-Zertifikat. Mit einem solchen ist es möglich, im Grunde alle anderen Schlüssel, die zur Kodierung von Nutzerdaten eingesetzt werden, als vertrauenswürdig zu kennzeichnen. Damit muss davon ausgegangen werden, dass im Grunde alle verschlüsselten Datenverbindungen, die die Nutzer von neueren Dell-Rechnern aktuell über SSL/TLS aufbauen, ziemlich einfach durch Man-in-the-middle-Attacken aufzumachen sind.

Entdeckt wurde das Zertifikat durch einen Nutzer, der die Zertifikate-Sammlung in seinem vorinstallierten Windows-System einmal genauer unter die Lupe genommen hat. Dort fand sich das fragliche Zertifikat namens "eDellRoot". Überprüfungen anderer Rechner haben gezeigt, dass es quasi zur Standardausstattung der Rechner von Dell und dessen Tochter Alienware gehört.

Unsicher by Design

Um mit dem Root-Zertifikat andere Zertifikate als vertrauenswürdig zu signieren, wird natürlich der passende Key benötigt. Praktischerweise wird dieser nämlich ebenfalls mit der vorinstallierten Windows-Installation ausgeliefert und ist nur marginal gegen einen Export geschützt. Dadurch ist es also nun quasi jedem halbwegs versierten Angreifer möglich, das Zertifikat und den Schlüssel von einem neuen Dell-Rechner zu holen, den Netzwerkverkehr anderer Nutzer mit einem Proxy abzufangen und die verschlüsselten Verbindungen zu öffnen.

Nach der nun veröffentlichen Stellungnahme Dells ging es bei der Sache ausschließlich um Nutzerfreundlichkeit. Das Zertifikat habe sicherstellen sollen, dass der Kundensupport bei Problemen schnell und unkompliziert helfen kann. Um die Sache aus der Welt zu schaffen, beeilte man sich nun aber, ein Tool zur Entfernung des fraglichen Zertifikates bereitzustellen und sicherte ferner zu, dass dieses auch nicht automatisch wieder installiert wird, wenn Nutzer es auf anderen Wegen beseitigt hatten. Eine solche Klarstellung sah man wohl als notwendig an, nachdem andere Hersteller ihre problematischen Komponenten sogar im BIOS beziehungsweise EFI verankerten und auch eine komplette Neuinstallation nichts half. Logo, Dell, PC-Hersteller Logo, Dell, PC-Hersteller Dell
Diese Nachricht empfehlen
Kommentieren2
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 06:10 Uhr Elegoo Upgraded 37 in 1 Sensor Modules Kit with Tutorial for Arduino UNO R3 MEGA 2560 Nano
Elegoo Upgraded 37 in 1 Sensor Modules Kit with Tutorial for Arduino UNO R3 MEGA 2560 Nano
Original Amazon-Preis
32,99
Im Preisvergleich ab
16,79
Blitzangebot-Preis
24,79
Ersparnis zu Amazon 25% oder 8,20

Video-Empfehlungen

Tipp einsenden