Pamatujete na to, kterak Lenovo instalovalo do počítačů malware Superfish, který ve výsledku představoval pořádné bezpečnostní riziko? Firma se omluvila a svůj software včetně přidaného certifikátu, jenž umožňoval sledovat zabezpečenou komunikaci, stáhla. Tehdy se Microsoft rozhodl vzít věci do vlastních rukou a začal malware likvidovat také svým antivirem. Později zase Samsung vypínal Windows Update.
Bezpečnost uživatele je výrobci narušována znovu a znovu. Něco podobného se tentokrát děje s laptopy firmy Dell. Distribuovala vlastní certifikát SSL, jenž se nazýval eDellRoot. Jedná se o kořenový certifikát, který je nastavený jako důvěryhodný a jehož životnost končí v roce 2039. Jako první si toho všiml programátor Joe Nord. Certifikát není určen pouze k autentizaci komunikace se serverem, ale k úplně libovolnému použití.
I Dell XPS 13 obsahoval nebezpečný certifikát
A co hůř, soukromý klíč k certifikátu je uložen v zařízení. Podle Norda by takový klíč v běžném počítači neměl být nikdy umístěn. Klíč nelze exportovat, ale existují způsoby, jak se k němu dostat. Kdykoli by ho někdo znal, mohl by na daném zařízení ve výsledku odposlouchávat šifrovanou komunikaci. Dostal by se tak klidně k vašim online účtům. Podobně to bylo svého času u Lenova, které ale navíc použilo univerzální klíč místo unikátního, takže byla šance na zneužití ještě větší.
Lenovo navíc vkládalo na weby reklamy. Buď jak buď, mít uvedený certifikát s klíčem v počítači je bezpečnostní riziko. Postiženy jsou minimálně stroje ze sérií Dell Inspiron 5000, XPS 15 a redakce The Verge certifikát nalezla také na laptopu XPS 13. Dell včera na blogu zareagoval, omluvil se a vydal instrukce, jak certifikát odstranit. Ode dneška navíc firma pomocí aktualizace bude certifikát sama z počítačů uživatelů odstraňovat.
Firma se brání tím, že certifikát není malware ani adware a byl na počítače nainstalován aplikací Dell Foundation Services. Bezpečnostní díra podle Dellu vznikla nezáměrně; certifikát měl sloužit jako součást podpůrných nástrojů a pomoci usnadnit a zrychlit řešení případných potíží s počítačem. Konkrétně měl usnadnit identifikaci modelu počítače. I když Dell nechtěl vydělávat na vložené reklamě jako Lenovo, je s podivem, že se z dřívějšího skandálu nepoučil nepoučil.
Zdroj: Joe Nord personal blog | The Official Dell Blog via The Verge 1 | 2