В устройствах Dell выявлен корневой сертификат, позволяющий перехватывать HTTPS

[Ens]

Компания Dell

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

в действиях, позволяющих организовать незаметный перехват и модификацию соединений с сайтами по HTTPS, повторив

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

с вмешательством в частную жизнь компании Lenovo. На выставляемых в продажу с августа ноутбуках и персональных компьютерах Dell,

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

модели Inspiron, XPS, Precision и Latitude, зафиксирована поставка коревого сертификата eDellRoot, который включён в локальный список доверительных сертификатов Windows.

Данный сертификат позволяет сгенерировать подставной SSL-сертификат для любого сайта и симулировать фиктивное HTTPS-cоединение, которое не приведёт к выводу предупреждения в браузерах Internet Explorer, Edge, Chrome и Safari, использующих список доверительных сертификатов Windows. Firefox не использует общее хранилище сертификатов, поэтому выявляет факт подмены и предупреждает об этом пользователя. Сообщается, что сертификат начал предустанавливаться в августе, но, в отличие от случая с Lenovo, явно не использован производителем для подстановки рекламы или анализа трафика.

Так как на все устройства предустанавливается общий сертификат и он легко может быть извлечён из системного хранилища сертификатов, злоумышленники могут воспользоваться eDellRoot для организации MITM-атаки, в результате которой возможно незаметное изменение или прослушивание HTTPS-трафика пользователей оборудования Dell, на котором установлен данный сертификат (сертификат входит только локальные списки доверия на ПК и ноутбуках Dell и не принимается на системах остальных пользователей). Пользователи оборудования Dell могут проверить наличие у них уязвимости на специально подготовленном

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

или проверив наличие eDellRoot в списке сертификатов, отображаемом в

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

.

Дополнение 1:

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

второй похожий самоподписанный корневой сертификат DSDTestProvider, который поставлялся на ноутбуке Dell XPS 13.

Дополнение 2: Сертификат eDellRoot

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

использовать для заверения цифровой подписью исполняемых файлов, т.е. его можно применять не только для атаки на HTTPS, но и для распространения вредоносного ПО, запуск которого на машинах Dell не приведёт к выводу предупреждения.

Дополнение 3: Компания Dell

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

добавление сертификата, его использованием в реализации сервиса оперативной технической поддержки. Пользователям устройств отправлена инструкция по удалению сертификата, который рассматривается как непреднамеренная уязвимость.

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

 

[Ens]

Дополнение к посту выше.

Dell снова не у дел: через фирменное ПО компьютера можно легко выяснить его уникальный id

На ноутбуках компании Dell

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

, в дополнение к недавней истории с некорректно установленным сертификатом. Теперь оказывается, что фирменное программное обеспечение Dell Foundation Services, используемое для поддержки пользователей, легко и без лишних вопросов выдаёт всем желающим уникальный идентификационный номер компьютера. Обычно

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

сотрудниками службы поддержки Dell для помощи пользователям.

Как обычно, беда не приходит одна – не исключено, что у фирменного ПО компании Dell найдут ещё не одну уязвимость, раз уж фокус внимания переключился на их ноутбуки. Кстати, именно Dell Foundation Services использовало тот злосчастный сертификат.

Теперь стало известно, что утечка уникального id может произойти даже после удаления этого сертификата – так что

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

для его удаления в этом случае не спасёт. Пока единственным выходом становится удаление указанного ПО с компьютера.

В результате, даже если пользователь ноутбука Dell попытается зашифроваться, включить Tor, режим анонимного просмотра страниц или хотя бы удалить все куки – всё равно уникальный id его компьютера будет доступен для веб-сайтов. Один из специалистов по безопасности

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

, который извлекает этот id у любого, зашедшего на него с помощью компьютера Dell.

Потенциальный злоумышленник, вооружившись id, может

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

скомпрометированного компьютера, и использовать полученную информацию, например, для пущей убедительности при фишинге.

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.