現今用戶越來越注重個人私隱,不論是購買哪種類型的裝置,均十分留意安全問題。大型品牌若產品被發現預載間諜軟件或後門程式,令品牌形象受損之餘也會令客戶失去信心,早前 Unwire.pro 亦曾報導過的,接二連三爆出私隱問題的 Lenovo 電腦就是其中一個例子。
近日 Dell 的手提電腦就被發現類似的安全問題,因預載了具安全漏洞的 SSL 安全證書,有機會被黑客利用偽造,使用戶在瀏覽危險網站未能察覺,從而進行中間人攻擊。
預載 SSL 證書存漏洞 易被黑客利用偽造網站
該安全漏洞由一位名為 Joe Nord 的軟件工程師在其 Blog 中指出,Joe Nord 稱發現近日新買的 Dell 手提電腦中,預先安裝了名為 eDellRoot 的安全證書,eDellRoot 並非正統的 SSL 安全證書,而且存有漏洞可以自行簽署。Joe Nord 指,證書的有效期是 2039 年,而且還設有對應的 Private key,一般用戶的電腦不應有這樣的情況出現。
黑客只需取得 Private key,就可透過根憑證(Root Certificate),偽造任何網站的合法證書,讓用戶即使在瀏覽惡意網站,也被偽造證書欺騙誤以為是安全網站,黑客從而能進行中間人攻擊竊取資料;甚至能偽裝成 Google、Facebook 等流行網站,或者是銀行和網購平台等涉及重要個人及財務資料的網站,將用戶置身於資料洩漏的危機當中。
Dell 坦承確有漏洞 承諾助用戶刪除
Joe Nord 指出該漏洞後,被外國傳媒廣泛報導,而 Dell 亦承認該安全漏洞,並在官方網站上發表聲明指,eDellRoot 在今年八月開始預載於消費與商用裝置。不過 Dell 解釋,預載 eDellRoot 只是為了加速網絡支援協議,雖然證書存在漏洞,但 Dell 並沒有預載任何間諜軟件或廣告軟件。
據指目前受影響的裝置包括 XPS 15 與 Inspiron 系列電腦均預載了 eDellRoot,而部分 Precision M4800 WorkStation 系列及 Latitude 機型亦同樣受影響。Dell 方面亦強調十分著重用戶的私隱與保障資料安全,承諾未來會在系統中移除該證書,並會以電子郵件向客戶解釋事件,協助用戶徹底刪除。
Source: Threatpost Joe Nord Blog