/ 中存储网

戴尔笔记本预装自签名根证书 可令黑客监控网站流量

2015-11-24 16:28:32 来源:中存储

中存储网消息,据科技网站PCWorld报道,戴尔笔记本预装了一种自签名根数字证书,可令攻击者监控流向任意安全网站的流量。

该问题首先在社交新闻网站Reddit上曝光,很快得到了其他用户和Twitter上安全专家的证实。这一根证书有权对笔记本进行认证授权,更糟糕的是,它还绑定了相应的私人密钥。

这一私人密钥目前已经在网上公布。有了私人密钥,任何人都可以为任意网站生成一个证书。微软IE、谷歌Chrome等浏览器使用了受影响笔记本上的Windows证书商店中的证书后,就会信赖这些网站。安全专家已经针对*.google.com、bankofamerica.com网站生成了概念验证证书。

戴尔在一份电邮声明中称,该证书名为eDellRoot,从今年8月起安装到了戴尔消费和商用设备中,目的是为消费者提供更好支持服务。

戴尔发言人称,公司正在开发一个安全更新,周一晚间或周二应该就会发布。戴尔称,他们已经在网站上公布了移除eDellRoot的指令,但是这一过程在技术上较为复杂。

目前尚不清楚究竟有哪些型号受到影响,已经有用户反映在Dell XPS 15 、XPS 13 models上发现该问题,另外Latitude和Inspiron 5000系列中也有产品存在同样问题。

类似的事件是联想lenovo的superfish事件