黑基网 首页 资讯 IT业界 查看内容

当红XPS笔电刚买就内藏高风险自签凭证软体,恐上恶意网站也不知

2015-11-30 08:58| 投稿: son850318

摘要: 今年联想电脑被发现预载Superfish广告程式,引发轩然大波。安全研究人员Joe Nord最近发现,Dell旗下电脑产品也预载了名为eDellRoot的自签凭证软体,可能使用户连上恶意网站而不察。Nord近日买入Dell XPS 15笔电,在 ...
今年联想电脑被发现预载Superfish广告程式,引发轩然大波。安全研究人员Joe Nord最近发现,Dell旗下电脑产品也预载了名为eDellRoot的自签凭证软体,可能使用户连上恶意网站而不察。

Nord近日买入Dell XPS 15笔电,在做某项问题排除工作时,发现到它预载了这款软体,并包含了一把私钥。虽然号称无法破解,但他表示,只要利用一些工具就可以轻易复制,这将让使用者机器中的金钥一旦不慎外流,则可能接受任何伪冒网站的SSL连线,进而遭致安全风险。他后来发现许多人也有类似问题,怀疑Dell每一款笔电都预载了同样的根凭证软体及私钥。
 
他指出,Dell已经见识联想电脑因Superfish而名誉重创,然而他们不但重蹈覆辙,而且更恶劣,因为Dell出包的不是第三方厂商的东西,而是自家的软体。更糟的是,我们知道Supefish是用于插入网路广告,但eDellRoot的用途则完全不明。
 
使用者可以按「开始」->键入「certmgr.msc」->「信赖根凭证发行单位」->「凭证」,检查是不是也有eDellRoot这个凭证。
 
Reddit网站上并有iamwpj的用户表示,他公司的Dell Inspiron原本没有eDellRoot,但下载Dell 更新软体后就有了。 The Verge也在Inspiron 5000及XPS 13发现这款软体。媒体报导,使用者必须手动取消凭证的许可,但这项工作既复杂也有相当难度。
 
Nord对媒体表示,Firefox会针对eDellRoot发出未受信赖凭证的警示。但Chrome及微软IE、Edge则没有类似警示。
 
Dell也已接到使用者反应。 Dell透过Twitter帐号指出,eDellRoot是Dell的信赖凭证,这在OS中已经提及,对系统不会造成任何威胁。 Dell发言人也对媒体说明,「客户安全与隐私是Dell的首要任务,我们有严格的政策规定预载应用降到最少,且需评估所有应用的安全及可用性。Dell有完善的使用者安全作业规范以确保我们客户。」该公司表示已有团队调查本次事件,并将尽速提供最新进展。
小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论


新出炉

返回顶部