还记得 2015 年 2 月联想爆发部分笔电机型预载 Superfish 恶意广告软件事件，自行签发安全凭证蒙骗浏览器，绑架合法连线，并使得骇客可轻易进行中间人攻击。无独有偶，戴尔新笔电也爆发类似的安全问题，戴尔部分笔电预装的安全评证让骇客可容易模仿 Google、银行体系等任何以 HTTPS 保护的网站。

23 日戴尔被爆出部分笔电预装了非正统 SSL 凭证－－eDellRoot，而该凭证出现安全漏洞，骇客可透过根凭证（root certificate），来创建任何网站的合法凭证，骇客可透过这样的途径解锁加密通信、进行中间人攻击，恶搞、伪装成 Google、Yahoo 等热门网站，或银行、购物网站等任何网站蒙骗使用者，使用者无疑暴露于危机之中。且由于基于 TLS 安全协议，浏览器对于本端安装的凭证可不需公钥（key pinning）的保护，因此即便 HTTP 的 Public Key Pinning（HPKP）机制，也无法防止这类攻击。

事件爆发的起因，是一名自述为软件工程师的 Joe Nord，在 22 日发现自己新买的戴尔笔电，预装了 eDellRoot 凭证，该凭证被允许用于所有目的，且效期直到 2039 年，进一步查询，该凭证竟有对应的私钥，Joe Nord 认知在一般使用者的电脑，不该会有这样的情形发生，而该私钥虽标记为不可导出，然任何人只要有办法取得这组私钥，即可以伪造凭证造访任何网站，即便该网站为问题网站，使用者也会误以为这是安全网站。

戴尔用户 Joe Nord 于 Windows 档案总管当中发现 eDellRoot 凭证。（Source：Joe Nord）

eDellRoot 凭证详细内容。（Source：Joe Nord）

戴尔这项事件不免也让人联想到 2015 年 2 月联想电脑才爆发的预装恶意广告软件事件，联想电脑当时被爆出在笔电预载 Superfish/Visual Discovery 广告软件，该软件除会持续弹出广告，还会自行签发安全凭证，可冒充合法网站凭证，致使使用者误将问题网站视为安全网站，骇客可轻易透过凭证进行中间人攻击。

事件爆发后，戴尔坦承了这项安全漏洞，承认在今年八月开始加载该凭证于消费与商用设备，设置 eDellRoot 凭证的目的，是为加速线上支持协定体验，并强调没有预装任何广告或恶意软件。

戴尔发言体系指出，客户的隐私与资讯安全是公司最关心的问题，并且将此问题摆在第一位，强调未来在戴尔系统中将卸载该项凭证，而目前有预载该项凭证的电脑，将以电子邮件直接向客户说明，并协助其由自己的电脑系统永久删除该凭证。

据国外网络安全博客 threatpost 与科技网站 Ars Technica 消息，包含戴尔 XPS 15 笔电与 Inspiron 系列笔电与桌机皆预载了该凭证， Ars Technica 还指出，部分 Precision M4800 工作站与 Latitude 机型也同样有这个漏洞。

• Dell admits preinstalling root certificate and pledges to remove it
• DELL COMPUTERS SHIP WITH ROOT CERT, PRIVATE KEY
• Dell does a Superfish, ships PCs with easily cloneable root certificates

• New Dell computer comes with a eDellRoot trusted root certificate

[前往原始页面]微信搜索公众号technews 2013（TechNews科技新报）关注我们。