Dell entschuldigt sich für Zertifikat-Fail und bietet Uninstaller an
Im dem vorliegenden Fall handelt es sich um ein eigenes Root-Zertifikat. Mit einem solchen ist es möglich, im Grunde alle anderen Schlüssel, die zur Kodierung von Nutzerdaten eingesetzt werden, als vertrauenswürdig zu kennzeichnen. Damit muss davon ausgegangen werden, dass im Grunde alle verschlüsselten Datenverbindungen, die die Nutzer von neueren Dell-Rechnern aktuell über SSL/TLS aufbauen, ziemlich einfach durch Man-in-the-middle-Attacken aufzumachen sind.
Entdeckt wurde das Zertifikat durch einen Nutzer, der die Zertifikate-Sammlung in seinem vorinstallierten Windows-System einmal genauer unter die Lupe genommen hat. Dort fand sich das fragliche Zertifikat namens "eDellRoot". Überprüfungen anderer Rechner haben gezeigt, dass es quasi zur Standardausstattung der Rechner von Dell und dessen Tochter Alienware gehört.
Nach der nun veröffentlichen Stellungnahme Dells ging es bei der Sache ausschließlich um Nutzerfreundlichkeit. Das Zertifikat habe sicherstellen sollen, dass der Kundensupport bei Problemen schnell und unkompliziert helfen kann. Um die Sache aus der Welt zu schaffen, beeilte man sich nun aber, ein Tool zur Entfernung des fraglichen Zertifikates bereitzustellen und sicherte ferner zu, dass dieses auch nicht automatisch wieder installiert wird, wenn Nutzer es auf anderen Wegen beseitigt hatten. Eine solche Klarstellung sah man wohl als notwendig an, nachdem andere Hersteller ihre problematischen Komponenten sogar im BIOS beziehungsweise EFI verankerten und auch eine komplette Neuinstallation nichts half.
Entdeckt wurde das Zertifikat durch einen Nutzer, der die Zertifikate-Sammlung in seinem vorinstallierten Windows-System einmal genauer unter die Lupe genommen hat. Dort fand sich das fragliche Zertifikat namens "eDellRoot". Überprüfungen anderer Rechner haben gezeigt, dass es quasi zur Standardausstattung der Rechner von Dell und dessen Tochter Alienware gehört.
Unsicher by Design
Um mit dem Root-Zertifikat andere Zertifikate als vertrauenswürdig zu signieren, wird natürlich der passende Key benötigt. Praktischerweise wird dieser nämlich ebenfalls mit der vorinstallierten Windows-Installation ausgeliefert und ist nur marginal gegen einen Export geschützt. Dadurch ist es also nun quasi jedem halbwegs versierten Angreifer möglich, das Zertifikat und den Schlüssel von einem neuen Dell-Rechner zu holen, den Netzwerkverkehr anderer Nutzer mit einem Proxy abzufangen und die verschlüsselten Verbindungen zu öffnen.Nach der nun veröffentlichen Stellungnahme Dells ging es bei der Sache ausschließlich um Nutzerfreundlichkeit. Das Zertifikat habe sicherstellen sollen, dass der Kundensupport bei Problemen schnell und unkompliziert helfen kann. Um die Sache aus der Welt zu schaffen, beeilte man sich nun aber, ein Tool zur Entfernung des fraglichen Zertifikates bereitzustellen und sicherte ferner zu, dass dieses auch nicht automatisch wieder installiert wird, wenn Nutzer es auf anderen Wegen beseitigt hatten. Eine solche Klarstellung sah man wohl als notwendig an, nachdem andere Hersteller ihre problematischen Komponenten sogar im BIOS beziehungsweise EFI verankerten und auch eine komplette Neuinstallation nichts half.
Thema:
Neueste Downloads
Jetzt als Amazon Blitzangebot
Ab 00:00 Uhr 
Launch - Werkzeuge & Ausrüstung für den Automobilbereich
Launch - Werkzeuge & Ausrüstung für den Automobilbereich Original Amazon-Preis
29,00 €
Blitzangebot-Preis
24,60 €
Ersparnis zu Amazon 15% oder 4,40 €
Video-Empfehlungen
Neue Nachrichten
Beliebte Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen