戴爾筆記本電腦成黑客游樂場 驚爆信息安全漏洞

TechNews科技新報 2015-11-24 成為作者
您還不是作者,請完善資料!成為作者
戴爾筆記本分類:行業(yè)資訊
閱讀2329搶沙發(fā)
還記得 2015 年 2 月聯(lián)想爆發(fā)部分筆電機型預載 Superfish 惡意廣告軟件事件,自行簽發(fā)安全憑證蒙騙瀏覽器,綁架合法連線,并使得駭客可輕易進行中間人攻擊。無獨有偶,戴爾新筆電也爆發(fā)類似的安全問題,戴爾部分筆電預裝的安全評證讓駭客可容易模仿 Google、銀行體系等任何以 HTTPS 保護的網(wǎng)站。
    23 日戴爾被爆出部分筆電預裝了非正統(tǒng) SSL 憑證--eDellRoot,而該憑證出現(xiàn)安全漏洞,駭客可透過根憑證(root certificate),來創(chuàng)建任何網(wǎng)站的合法憑證,駭客可透過這樣的途徑解鎖加密通信、進行中間人攻擊,惡搞、偽裝成 Google、Yahoo 等熱門網(wǎng)站,或銀行、購物網(wǎng)站等任何網(wǎng)站蒙騙使用者,使用者無疑暴露于危機之中。且由于基于 TLS 安全協(xié)議,瀏覽器對于本端安裝的憑證可不需公鑰(key pinning)的保護,因此即便 HTTP 的 Public Key Pinning(HPKP)機制,也無法防止這類攻擊。

    事件爆發(fā)的起因,是一名自述為軟件工程師的 Joe Nord,在 22 日發(fā)現(xiàn)自己新買的戴爾筆電,預裝了 eDellRoot 憑證,該憑證被允許用于所有目的,且效期直到 2039 年,進一步查詢,該憑證竟有對應的私鑰,Joe Nord 認知在一般使用者的電腦,不該會有這樣的情形發(fā)生,而該私鑰雖標記為不可導出,然任何人只要有辦法取得這組私鑰,即可以偽造憑證造訪任何網(wǎng)站,即便該網(wǎng)站為問題網(wǎng)站,使用者也會誤以為這是安全網(wǎng)站。

     戴爾這項事件不免也讓人聯(lián)想到 2015 年 2 月聯(lián)想電腦才爆發(fā)的預裝惡意廣告軟件事件,聯(lián)想電腦當時被爆出在筆電預載 Superfish/Visual Discovery 廣告軟件,該軟件除會持續(xù)彈出廣告,還會自行簽發(fā)安全憑證,可冒充合法網(wǎng)站憑證,致使使用者誤將問題網(wǎng)站視為安全網(wǎng)站,駭客可輕易透過憑證進行中間人攻擊。

    事件爆發(fā)后,戴爾坦承了這項安全漏洞,承認在今年八月開始加載該憑證于消費與商用設備,設置 eDellRoot 憑證的目的,是為加速線上支持協(xié)定體驗,并強調(diào)沒有預裝任何廣告或惡意軟件。

    戴爾發(fā)言體系指出,客戶的隱私與資訊安全是公司最關心的問題,并且將此問題擺在第一位,強調(diào)未來在戴爾系統(tǒng)中將卸載該項憑證,而目前有預載該項憑證的電腦,將以電子郵件直接向客戶說明,并協(xié)助其由自己的電腦系統(tǒng)永久刪除該憑證。

    據(jù)國外網(wǎng)絡安全博客 threatpost 與科技網(wǎng)站 Ars Technica 消息,包含戴爾 XPS 15 筆電與 Inspiron 系列筆電與桌機皆預載了該憑證, Ars Technica 還指出,部分 Precision M4800 工作站與 Latitude 機型也同樣有這個漏洞。
讀者們,如果你或你的朋友想被手機報報道,請狠戳這里尋求報道
相關文章
熱門話題
推薦作者
熱門文章
  • 48小時榜
  • 雙周榜
熱門評論