戴尔曝eDellRoot根证书后门

今年早些时候，联想电脑被发现预装了Superfish广告程序，这款软件会增加用户受到黑客攻击的风险，一时引发了大量讨论，而最近，Duo实验室的安全研究人员在戴尔Inspiron 14笔记本中发现了一些奇怪的证书，这些证书同样会增加用户受到黑客攻击的风险。

研究人员的发现

研究人员在戴尔电脑上发现两个证书，包括一款被信任的eDellRoot根证书
使用了这些证书的系统中的一个提供HTTPS web服务的系统是一个SCADA (supervisory control and data acquisition,监控和数据采集)系统。
eDellRoot预装的时候有关联的私钥，这是个大错误
调查表明，戴尔有意地在其他型号中预装相同的私钥。
也就是说，攻击者可以嗅探戴尔用户的流量，还可以修改他们的流量传播恶意软件。
研究人员还在戴尔电脑上发现了另一个证书问题——在蓝牙管理软件中发现了Atheros Authenticode证书

影响

如果用户在咖啡店里使用戴尔笔记本电脑，处在同一wifi网络的攻击者就可以嗅探所有TLS加密的流量了，攻击者可以从而获取诸如银行卡密码、电子邮件等的敏感数据。

攻击者还可以篡改用户的流量，如当用户要下载某款正规软件或者安装自动更新时，攻击者可以对流量进行篡改，从而使用户下载到恶意软件，并且攻击者还可以让软件看起来是由可信的开发者签名的。

Atheros Authenticode证书

戴尔电脑中不仅仅包含eDellRoot这款证书，电脑的蓝牙管理软件中包含一个名叫‘Verisign.pfx’的文件，单看这个名字就可以看出些端倪。

这个.pfx文件需要密码才能打开，团队用了次优的云端只花了6小时就破解出了密码，密码是‘t-span’。

结果发现，蓝牙管理软件中还有个Atheros签名证书。这款证书是用来对系统预装的四个蓝牙驱动进行签名的：

btath_hcrp.sys
btath_lwflt.sys
btath_pan.sys
bthathfax.sys

所幸的是，这款证书于3/31/2013过期，也就没有滥用的可能了。

影响机型

至少以下三款戴尔笔记本中存在自签名密钥：

戴尔Inspiron 5000系列笔记本电脑
戴尔XPS 15
戴尔XPS 13

现在市面上的大量戴尔笔记本都应该中招了，特别是最近的戴尔Inspiron桌面电脑，XPS，和Precision M4800、Latitude机型。

你中招了没？

检查你的电脑中是否有危险的证书：

1. 打开开始菜单
2. 选择“运行”
3. 在运行框中输入certmgr.msc，点击回车
4. 在左侧侧边栏中选择”可信根证书颁发机构”文件夹
5. 选择“证书”
6. 搜索“eDellRoot”

如果你发现了eDellRoot证书，你可以右键选择移除，但这样看上去你把证书删除了，但实际上并没有。重启电脑后重新打开证书管理器，你会惊喜地发现根证书又回来了。

官方回应及修复方法

戴尔的发言人在一份声明中称，公司正在调查证书事件：

“戴尔高度关注客户的安全和隐私，我们的团队正在调查此事件，有更多信息我们会尽快通知大家.”

随后，戴尔发布了官方的证书移除指导和移除工具。

../../article/20220623/file.html