在許多戴爾筆記本電腦上發現了一個類似超級魚類的安全缺陷,特別是在公司的某些筆記本電腦上預裝的SSL證書。
證書本身是埃德魯特(Edelloot),該證書最初是由喬·諾德(Joe Nord)發現的,他強調了戴爾(Dell)的權限允許任何SSL證書的信任,在這種情況下,這肯定是一個問題。
由於證書是本地存儲的事實,攻擊者可以創建簽名鍵的偽造副本,該副本將用戶暴露於許多SSL攻擊中。受影響的特定筆記本電腦包括Inspiron 5000和XPS 15,但是,一些報告表明它也在XPS 13上,並且可能存在於大量戴爾的筆記本電腦。
安全缺陷讓人聯想到聯想超級魚醜聞,使用類似的證書。 SuperFish是一種將廣告注入網站的廣告軟件,並破壞了筆記本電腦中的許多安全協議。戴爾的案例有些不同,因為沒有建議證書用於廣告,但是,計算機開放式攻擊的結果是相同的。為了解決該問題,用戶必須手動撤銷權限,這是一個相當複雜的過程,並且普通用戶可能無法做到這一點。
由於安全密鑰在本地存儲在每台計算機上的事實,黑客很難提出證明不安全流量的安全密鑰。許多安全研究人員已經能夠利用該缺陷。
“看來,肯定有一個以上的Edellroot拇指紋,以及系統上至少有一個其他已解決的私人證書,我們能夠在無需大量努力的情況下就可以破解密碼,”達倫·坎普(Darren Kemp)說,Duosecurity的研究人員在接受The Verge的採訪中。
戴爾說,尚不知道有多少計算機受到影響。
通過:邊緣
