image

Ophef over zelf-gesigneerd certificaat op Dell-laptops

maandag 23 november 2015, 14:04 door Redactie, 4 reacties

Op internet is ophef ontstaan over een zelf-gesigneerd certificaat waarmee alle Dell-laptops zouden worden geleverd. Op sociale nieuwssite Reddit meldt lezer Kevin Hicks hoe hij op zijn nieuwe XPS-laptop van Dell een zelf-gesigneerd rootcertificaat ontdekte genaamd eDellRoot. Hiermee zouden gebruikers kunnen worden aangevallen, bijvoorbeeld via malware die het certificaat gebruikt.

Het certificaat op de Dell-laptops is van een eigen privésleutel voorzien die niet kan worden geëxporteerd. De sleutel blijkt echter wel te kunnen worden gekopieerd. Dell-gebruiker Joe Nord ontdekte op zijn laptop hetzelfde rootcertificaat met dezelfde privésleutel. Volgens Nord en Hicks is dit precies dezelfde situatie als met Lenovo en het Superfish-debacle. De laptops van Lenovo werden met adware geleverd die via een zelf-gesigneerd certificaat het versleutelde verkeer kon onderscheppen om hier vervolgens advertenties in te injecteren.

In het geval van Dell lijkt de situatie echter wel verschillend. Het certificaat kan namelijk niet worden gebruikt om andere certificaten uit te geven om bijvoorbeeld man-in-the-middle-aanvallen op HTTPS-sites uit te voeren, merkt een andere Reddit-lezer op. Toch is er ook kritiek dat Dell geen certificaat van een geldige certificaatautoriteit heeft gebruikt. Dell laat tegenover Hicks weten dat eDellRoot een vertrouwd certificaat is en geen bedreiging vormt. Op de opmerking van Hicks dat het certificaat wel een beveiligingsrisico is laat het Dell Webcare-team weten dat het bedrijf met een uitleg zal komen over de aanwezigheid van het certificaat. Een woordvoerder bevestigt tegenover Security.NL dat Dell later vandaag met een verklaring komt.

Reacties (4)
23-11-2015, 16:16 door Anoniem
Je kunt altijd het beste de disk van een dergelijke machine meteen formatten en het OS (her) installeren wat je wilt.
23-11-2015, 18:14 door Erik van Straten
In het geval van Dell lijkt de situatie echter wel verschillend. Het certificaat kan namelijk niet worden gebruikt om andere certificaten uit te geven om bijvoorbeeld man-in-the-middle-aanvallen op HTTPS-sites uit te voeren, merkt een andere Reddit-lezer op.
Dat is helaas onjuist, het kan wel. Hoewel "eDellRoot.crt" het geen correct root certificaat is (het betreft een V3 certificaat terwijl Basic Constraints en Key Usage ontbreken), kon ik het gewoon importeren in de Windows certificate store. Waarna badgoogle.crt (eveneens uit https://mega.nz/#F!kwgAQB7K!K6g2PSLyNmpWhQxne5NLfw) als geldig wordt herkend.

Als ik het certificaat + keypair (in eDellRoot.key zit naast de private key ook de public key) in XCA importeer, wil XCA op basis van dat certificaat geen andere certificaten ondertekenen.

Maar op basis van het keypair kan ik in XCA eenvoudig een nieuw certificaat "eDellRoot" met de juiste attributen genereren, waarmee ik wel eenvoudig servercertificaten kan ondertekenen (en ik zie geen belemmeringen om er ook een code-siging certificaat mee te maken, maar heb dat niet getest). Certificaten die vervolgens door Windows als geldig zullen worden bestempeld indien het "incorrecte" eDellRoot certificaat in de Windows certificate store zit.
23-11-2015, 19:49 door [Account Verwijderd] - Bijgewerkt: 23-11-2015, 19:51
[Verwijderd]
24-11-2015, 08:58 door Anoniem
Faal van epische proporties voor Dell. Ook hier blijkt het nut weer van een herinstallatie direct na het kopen van een nieuwe PC. OEMs blunderen te vaak met hun images.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.