Op internet is ophef ontstaan over een zelf-gesigneerd certificaat waarmee alle Dell-laptops zouden worden geleverd. Op sociale nieuwssite Reddit meldt lezer Kevin Hicks hoe hij op zijn nieuwe XPS-laptop van Dell een zelf-gesigneerd rootcertificaat ontdekte genaamd eDellRoot. Hiermee zouden gebruikers kunnen worden aangevallen, bijvoorbeeld via malware die het certificaat gebruikt.
Het certificaat op de Dell-laptops is van een eigen privésleutel voorzien die niet kan worden geëxporteerd. De sleutel blijkt echter wel te kunnen worden gekopieerd. Dell-gebruiker Joe Nord ontdekte op zijn laptop hetzelfde rootcertificaat met dezelfde privésleutel. Volgens Nord en Hicks is dit precies dezelfde situatie als met Lenovo en het Superfish-debacle. De laptops van Lenovo werden met adware geleverd die via een zelf-gesigneerd certificaat het versleutelde verkeer kon onderscheppen om hier vervolgens advertenties in te injecteren.
In het geval van Dell lijkt de situatie echter wel verschillend. Het certificaat kan namelijk niet worden gebruikt om andere certificaten uit te geven om bijvoorbeeld man-in-the-middle-aanvallen op HTTPS-sites uit te voeren, merkt een andere Reddit-lezer op. Toch is er ook kritiek dat Dell geen certificaat van een geldige certificaatautoriteit heeft gebruikt. Dell laat tegenover Hicks weten dat eDellRoot een vertrouwd certificaat is en geen bedreiging vormt. Op de opmerking van Hicks dat het certificaat wel een beveiligingsrisico is laat het Dell Webcare-team weten dat het bedrijf met een uitleg zal komen over de aanwezigheid van het certificaat. Een woordvoerder bevestigt tegenover Security.NL dat Dell later vandaag met een verklaring komt.
Deze posting is gelocked. Reageren is niet meer mogelijk.