记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

戴尔曝eDellRoot根证书后门

2015-11-26 01:00

今年早些时候,联想电脑被发现预装了Superfish广告程序,这款软件会增加用户受到黑客攻击的风险,一时引发了大量讨论,而最近,Duo实验室的安全研究人员在戴尔Inspiron 14笔记本中发现了一些奇怪的证书,这些证书同样会增加用户受到黑客攻击的风险。

研究人员的发现

研究人员在戴尔电脑上发现两个证书,包括一款被信任的eDellRoot根证书
使用了这些证书的系统中的一个提供HTTPS web服务的系统是一个SCADA (supervisory control and data acquisition,监控和数据采集)系统。
eDellRoot预装的时候有关联的私钥,这是个大错误
调查表明,戴尔有意地在其他型号中预装相同的私钥。
也就是说,攻击者可以嗅探戴尔用户的流量,还可以修改他们的流量传播恶意软件。
研究人员还在戴尔电脑上发现了另一个证书问题——在蓝牙管理软件中发现了Atheros Authenticode证书

影响

如果用户在咖啡店里使用戴尔笔记本电脑,处在同一wifi网络的攻击者就可以嗅探所有TLS加密的流量了,攻击者可以从而获取诸如银行卡密码、电子邮件等的敏感数据。

攻击者还可以篡改用户的流量,如当用户要下载某款正规软件或者安装自动更新时,攻击者可以对流量进行篡改,从而使用户下载到恶意软件,并且攻击者还可以让软件看起来是由可信的开发者签名的。

Atheros Authenticode证书

戴尔电脑中不仅仅包含eDellRoot这款证书,电脑的蓝牙管理软件中包含一个名叫‘Verisign.pfx’的文件,单看这个名字就可以看出些端倪。

这个.pfx文件需要密码才能打开,团队用了次优的云端只花了6小时就破解出了密码,密码是‘t-span’。

结果发现,蓝牙管理软件中还有个Atheros签名证书。这款证书是用来对系统预装的四个蓝牙驱动进行签名的:

btath_hcrp.sys
btath_lwflt.sys
btath_pan.sys
bthathfax.sys

所幸的是,这款证书于3/31/2013过期,也就没有滥用的可能了。

影响机型

至少以下三款戴尔笔记本中存在自签名密钥:

戴尔Inspiron 5000系列笔记本电脑
戴尔XPS 15
戴尔XPS 13

现在市面上的大量戴尔笔记本都应该中招了,特别是最近的戴尔Inspiron桌面电脑,XPS,和Precision M4800、Latitude机型。

你中招了没?

检查你的电脑中是否有危险的证书:

1. 打开开始菜单
2. 选择“运行”
3. 在运行框中输入certmgr.msc,点击回车
4. 在左侧侧边栏中选择”可信根证书颁发机构”文件夹
5. 选择“证书”
6. 搜索“eDellRoot”

如果你发现了eDellRoot证书,你可以右键选择移除,但这样看上去你把证书删除了,但实际上并没有。重启电脑后重新打开证书管理器,你会惊喜地发现根证书又回来了。 ;-)

官方回应及修复方法

戴尔的发言人在一份声明中称,公司正在调查证书事件:

“戴尔高度关注客户的安全和隐私,我们的团队正在调查此事件,有更多信息我们会尽快通知大家.”

随后,戴尔发布了官方的证书移除指导移除工具

附上两款证书下载:DellCertificates.zip

*参考来源:DuoSecurity & THN,译/Sphinx,文章有修改,转载请注明来自Freebuf黑客与极客(FreeBuf.COM)

知识来源: www.freebuf.com/articles/terminal/86968.html

阅读:91340 | 评论:0 | 标签:终端安全 戴尔 根证书 自签名 后门

想收藏或者和大家分享这篇好文章→复制链接地址

“戴尔曝eDellRoot根证书后门”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云