在许多戴尔笔记本电脑上发现了一个类似超级鱼类的安全缺陷,特别是在公司的某些笔记本电脑上预装的SSL证书。
证书本身是埃德鲁特(Edelloot),该证书最初是由乔·诺德(Joe Nord)发现的,他强调了戴尔(Dell)的权限允许任何SSL证书的信任,在这种情况下,这肯定是一个问题。
由于证书是本地存储的事实,攻击者可以创建签名键的伪造副本,该副本将用户暴露于许多SSL攻击中。受影响的特定笔记本电脑包括Inspiron 5000和XPS 15,但是,一些报告表明它也在XPS 13上,并且可能存在于大量戴尔的笔记本电脑。
安全缺陷让人联想到联想超级鱼丑闻,使用类似的证书。 SuperFish是一种将广告注入网站的广告软件,并破坏了笔记本电脑中的许多安全协议。戴尔的案例有些不同,因为没有建议证书用于广告,但是,计算机开放式攻击的结果是相同的。为了解决该问题,用户必须手动撤销权限,这是一个相当复杂的过程,并且普通用户可能无法做到这一点。
由于安全密钥在本地存储在每台计算机上的事实,黑客很难提出证明不安全流量的安全密钥。许多安全研究人员已经能够利用该缺陷。
“看来,肯定有一个以上的Edellroot拇指纹,以及系统上至少有一个其他已解决的私人证书,我们能够在无需大量努力的情况下就可以破解密码,”达伦·坎普(Darren Kemp)说,Duosecurity的研究人员在接受The Verge的采访中。
戴尔说,尚不知道有多少计算机受到影响。
通过:边缘
