|
|
你需要了解戴尔的根证书安全失败 灰鸽子使用教程,远程控制软件
的全部范围事件仍不清楚,但是有一个删除工具可用 灰鸽子。
为了简化远程支持,戴尔自签名安装根证书和相应的私有密钥对其客户的电脑,显然没有意识到,这让用户的加密通信潜在的间谍。
更令人吃惊的是,公司这样做而被完全意识到一个非常类似的安全失误的竞争对手,联想,2月份曝光。
在联想的情况下这是一个广告项目叫做Superfish,预装的一些公司的消费者笔记本电脑和一个自签名的根证书安装。
在戴尔的情况下,自己公司的支持工具,这可以说是更糟的是,因为戴尔决定承担全部责任。
具有讽刺意味的是,戴尔真正利用联想的事故凸显自己的隐私和宣传其产品的承诺。产品页戴尔Inspiron 20和XPS 27一体台式机,Inspiron 14 5000系列,Inspiron 15 7000系列,Inspiron可能17 7000系列笔记本电脑和其他产品,写道:“担心Superfish吗?戴尔限制了其预装软件一小部分高价值的应用程序在所有的电脑上。每个应用程序我们预装经历安全、隐私和可用性测试,以确保我们的客户体验最好的计算性能、更快的设置和减少隐私和安全问题。”
为什么你在乎eDellRoot自签名证书是安装在Windows证书存储在“受信任的根证书颁发机构。“这意味着任何SSL / TLS或代码签名证书与eDellRoot证书的私钥签署将信任浏览器,桌面电子邮件客户端以及其它影响戴尔系统上运行的应用程序。
例如,攻击者可以使用eDellRoot私钥,目前在网上公开,为任何HTTPS-enabled生成证书的网站。
他们可以使用公共无线网络路由器或砍来解密网站流量影响戴尔系统。
在这些所谓的中间人(MitM)攻击,攻击者截获用户的HTTPS请求到一个安全的网站,例如bankofamerica.com。
然后他们开始作为一个代理,建立合理的连接真正的网站从自己的机器,通过交通回受害者后对用流氓bankofamerica.com证书与eDellRoot生成密钥。
用户会看到一个有效HTTPS-encrypted连接美国银行(Bank of America)在他们的浏览器,但攻击者将能够阅读和修改他们的交通。
攻击者也可以使用eDellRoot私钥生成的证书可以用来标志恶意文件。这些文件将产生可怕的用户帐户控制提示影响戴尔系统执行时,因为他们似乎签署的操作系统就像一个可信软件出版商。
和这样一个流氓恶意的系统驱动程序签名证书也会绕过司机签名验证在64位版本的Windows。
不仅仅是笔记本电脑最初的报道是关于找到eDellRoot证书在不同的戴尔笔记本电脑模型。
然而,证书是由戴尔基础服务(DFS)应用程序安装,根据其发行说明,可以在笔记本电脑、台式机,一体机,two-in-ones,戴尔塔从不同的产品线,包括XPS、商用台式机Inspiron、成就和精密塔。 |
|
加载中...
发表于 2015-11-25 22:09:36
发表于 2015-11-25 22:09:42
