Superfish reloaded: Dell lieferte PCs mit unsicherem Zertifikat aus

Der US-Computerkonzern Dell hat offenbar eine Vielzahl verschiedener PC-Modelle mit einem vorinstallierten Digitalen Zertifikat ausgeliefert, das es Angreifern leicht macht, sich zum Beispiel als Google, eine Bank oder praktisch jede beliebige HTTPS-geschützte Website auszugeben. Das von Dell selbst signierte TLS-Zertifikat wurde laut den von Golem und Ars Technica zitierten Meldungen diverser betroffener Nutzer von "eDellRoot" ausgestellt und wurde als Root-Zertifikat auf diversen Dell-System vorinstalliert. Betroffen sind offenbar unter anderem Notebooks der Dell Inspiron 5000-, XPS 15-, Inspiron-Desktop-, Precision M4800- und Alienware-Serien. Es kommt jeweils der gleiche geheime kryptografische Schlüssel zum Einsatz. Dadurch kann ein Angreifer mit relativ wenig Aufwand den Schlüssel extrahieren und diesen zur Signierung gefälschter TLS-Zertifikate für jede beliebige HTTPS-geschützte Website verwenden.

Abhängig vom jeweiligen Browser baut ein mit dem gefährlichen Zertifikat ausgerüsteter Rechner eine verschlüsselte Verbindung auf, ohne eine entsprechende Warnung auszugeben. Sowohl Chrome als auch der Internet Explorer und Microsofts neuer Browser Edge sollen ohne Warnungen verschlüsselte Verbindungen unter Verwendung des Zertifikats aufbauen, während einzig Firefox eine entsprechende Warnung ausgibt.

Wer prüfen will, ob das problematische Zertifikat auf seinem Dell-Rechner vorhanden ist, kann dazu den Zertifikats-Manager von Windows nutzen, der unter dem Namen certmgr.msc über die Suche- oder Eingabeaufforderung gestartet werden kann. Öffnet man dann den Bereich "Vertrauenswürdige Stammzertifikate" und findet den Eintrag für die Autorität "eDellRoot", kann das Zertifikat gelöscht werden.

Dell ließ inzwischen gegenüber ArsTechnica verlauten, dass man Techniker mit einer Untersuchung der Nutzerberichte beauftragt hat. Noch ist unklar, wie weit das gefährliche Zertifikat verbreitet ist. Sicher ist aber mittlerweile, dass es auch als Signatur von Anwendungen genutzt werden kann, was die Umgehung von Microsofts in Windows eingebauten Sicherheitsmaßnahmen ermöglicht.

Welchen Zweck das Zertifikat erfüllt, ist aktuell noch offen. Dell könnte damit allerdings versuchen, seine eigenen Programme und Service-Anwendungen "besser" laufen zu lassen, indem man ihnen mit dem Zertifikat mehr Möglichkeiten einräumt. Durch die Ablage eines geheimen Schlüssels auf den betroffenen Rechnern wird das Unternehmen aber auch in die Lage versetzt, angepasste Werbung auszuliefern, egal auf welcher Website man sich befindet. Der Browser vertraut diesem Zertifikat in den meisten Fällen komplett, so dass Dell theoretisch in der Lage wäre, sämtliche HTTPS- oder TLS-geschützten Verbindungen einzusehen und die über sie übertragenen Browser-Daten abzugreifen.

Der chinesische Computerkonzern Lenovo fiel vor einiger Zeit ebenfalls in Ungnade, weil man viele Geräte mit einer "Superfish" genannten Adware auslieferte, die ebenfalls ein eigenes unsicheres Zertifikat verwendete, um unabhängig von den Betreibern von Websites eigene Werbung in Internet-Seiten einzuschleusen, die auf den jeweiligen Nutzer zugeschnitten war.

Download Superfish Adware-Uninstaller Sicherheit, Sicherheitslücken, schloss, Abus, Kette John Dierckx / Flickr