Computerfabrikant Dell gaat vandaag beginnen met het verwijderen van een certificaat waardoor gebruikers kunnen worden aangevallen, zo heeft het bedrijf bekendgemaakt. Sinds augustus van dit jaar worden laptops en desktops van Dell met een certificaat geleverd dat ook de privésleutel bevat.
Aanvallers kunnen deze sleutel gebruiken om bijvoorbeeld malware te signeren, zodat het lijkt alsof die van Dell afkomstig is, en zijn ook man-in-the-middle-aanvallen op HTTPS-sites mogelijk. Volgens Dell is het certificaat geen malware of adware. Het zou opzettelijk op systemen zijn geplaatst om klanten te helpen. Via het certificaat kan de helpdesk van Dell de servicetag van het systeem achterhalen en zo sneller het computermodel, besturingssysteem en andere onderdelen identificeren.
De computerfabrikant stelt in een blogposting dat het certificaat onbedoeld een kwetsbaarheid introduceert. Iets waar Dell excuses voor maakt. Het bedrijf heeft nu instructies (docx) online gezet hoe het certificaat in kwestie kan worden verwijderd en zal vanaf vandaag ook een update uitbrengen om het certificaat te verwijderen. Tevens zullen alle nieuwe systemen zonder certificaat worden geleverd. In de blogposting bedankt Dell ook onderzoekers Hanno Böck, Joe Nord en Kevin Hicks die over het beveiligingsprobleem publiceerden. Dell-klanten die willen weten of ze kwetsbaar zijn kunnen dit via deze website testen.
"De veiligheid en privacy van onze klanten zijn van het grootste belang voor Dell. De recente situatie heeft betrekking tot een “on-the-box” support-certificaat dat bedoeld is om klanten een betere, snellere en eenvoudigere supportervaring te leveren. Tot Dells spijt brengt het certificaat een onbedoelde beveiligingskwetsbaarheid met zich mee. Om dit probleem op te lossen gaan wij onze klanten van instructies voorzien om dit certificaat permanent van hun systemen te verwijderen", zo laat Dell in een reactie aan Security.NL weten.
"Wij gaan de instructies via e-mail, op onze support website en via onze technische support communiceren. Wij gaan het certificaat ook van alle Dell-systemen verwijderen die nog geleverd moeten worden. Let op: voor zakelijke klanten die een image van hun eigen systemen beheren heeft deze kwestie geen gevolgen. Dell installeert geen adware of malware. Het certificaat zal zichzelf niet herinstalleren als het goed is verwijderd volgens het door Dell geadviseerde proces."
Tevens heeft het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit een waarschuwing voor het certificaat afgegeven. Daarin wordt ook aangeraden het certificaat te verwijderen.
Deze posting is gelocked. Reageren is niet meer mogelijk.