圖片來源: 

Dell

今年聯想電腦被發現預載Superfish廣告程式,引發軒然大波。安全研究人員Joe Nord最近發現,Dell旗下電腦產品也預載了名為eDellRoot的自簽憑證軟體,可能使用戶連上惡意網站而不察。 

Nord近日買入Dell XPS 15筆電,在做某項問題排除工作時,發現到它預載了這款軟體,並包含了一把私鑰。雖然號稱無法破解,但他表示,只要利用一些工具就可以輕易複製,這將讓使用者機器中的金鑰一旦不慎外流,則可能接受任何偽冒網站的SSL連線,進而遭致安全風險。他後來發現許多人也有類似問題,懷疑Dell每一款筆電都預載了同樣的根憑證軟體及私鑰。
 
他指出,Dell已經見識聯想電腦因Superfish而名譽重創,然而他們不但重蹈覆轍,而且更惡劣,因為Dell出包的不是第三方廠商的東西,而是自家的軟體。更糟的是,我們知道Supefish是用於插入網路廣告,但eDellRoot的用途則完全不明。
 
使用者可以按「開始」->鍵入「certmgr.msc」->「信賴根憑證發行單位」->「憑證」,檢查是不是也有eDellRoot這個憑證。
 
Reddit網站上並有iamwpj的用戶表示,他公司的Dell Inspiron原本沒有eDellRoot,但下載Dell 更新軟體後就有了。The Verge也在Inspiron 5000及XPS 13發現這款軟體。媒體報導,使用者必須手動取消憑證的許可,但這項工作既複雜也有相當難度。
 
Nord對媒體表示,Firefox會針對eDellRoot發出未受信賴憑證的警示。但Chrome及微軟IE、Edge則沒有類似警示。
 
Dell也已接到使用者反應。Dell透過Twitter帳號指出,eDellRoot是Dell的信賴憑證,這在OS中已經提及,對系統不會造成任何威脅。Dell發言人也對媒體說明,「客戶安全與隱私是Dell的首要任務,我們有嚴格的政策規定預載應用降到最少,且需評估所有應用的安全及可用性。Dell有完善的使用者安全作業規範以確保我們客戶。」該公司表示已有團隊調查本次事件,並將儘速提供最新進展。

 

資安人員Joe Nord在社群網站上抱怨Dell新款XPS 15吋筆電剛買就內藏了高風險的自簽憑證軟體,恐害用戶誤上惡意網站也不知


熱門新聞

Advertisement