Nach Lenovo hat nun Computerhersteller Dell sein eigenes Superfish-Gate. Ein vorinstalliertes, von Dell selbst signiertes Zertifikat ist ein gewaltiges Sicherheitsrisiko, sind die Schlüssel doch mittlerweile öffentlich geworden.
Anzeige
Dell Root-CA-Zertifikat als Risiko
Martin von Dr. Windows, heise.de, neowin.net, arstechnica.com und weitere Sites weisen auf das Problem hin. Auch Dell hat es sich nehmen lassen, auf einigen seiner Rechner ein selbst signiertes Root-Zertifikat zu installieren. Das Schlimme: Dieses Root-CA-Zertifikat hebelt die Verschlüsselung unter Windows aus, kann man doch beliebige andere Zertifikate mit dem richtigen privaten Schlüssel ebenfalls als vertrauenswürdig einstufen lassen.
Und dieser Schlüssel für das Root-CA-Zertifikat lässt sich leicht auslesen, wie Nutzer rotorcowboy im reddit.com-Thread Dell ships laptops with rogue root CA, exactly like what happened with Lenovo and Superfish berichtet. Dort wird auf den privaten Schlüssel verlinkt.
Dell's Stellungnahme
Dell hat hier bereits eine Stellungnahme veröffentlicht. Das Zertifikat kommt mit der Dell Foundation Services-Anwendung auf den Rechner. Interessant, warum Dell die Bloatware mitliefert:
The certificate was implemented as part of a support tool and intended to make it faster and easier for our customers to service their system. Customer security and privacy is a top concern and priority for Dell; we deeply regret that this has happened and are taking steps to address it.
Ist mein Dell-Rechner verwundbar?
Benutzer eines neueren Dell-Rechners können auf dieser Webseite einen Schnellcheck durchführen, ob das Zertifikat installiert ist (da kommt wohl über ein Dell-Update erst nach der Inbetriebnahme auf den Rechner).
Anzeige
Das Zertifikat entschärfen
Bei heise.de beschreibt man, wie sich das Zertifikat auf die Schnelle entschärft, indem man eine administrative Eingabeaufforderung (über Als Administrator ausführen) öffnet und dann den Befehl certmgr.msc eingibt.
(Quelle: heise.de)
Dann navigiert man zu Zertifikate – Aktueller Benutzer / Vertrauenswürdige Stammzertifizierungsstellen / Zertifikate. Findet sich dort ein Zertifikat eDellRoot, ruft man die Eigenschaftenseite per Doppelklick auf den Zertifikatseintrag auf.
(Quelle: heise.de)
Dort lässt sich die Option Alle Zwecke für dieses Zertifikat deaktivieren und dann über die OK-Schaltfläche bestätigen. Damit wird Windows die Möglichkeit entzogen, weitere Zertifikate auf diesem Root-CA-Zertifikat zu registrieren. Bei Dr. Windows findet sich ein Nutzer, der das auf deutschen Dell Business-Rechnern verifizieren konnte. Viele Firmen installieren aber eigene Windows-Images, so dass das Zertifikat nicht auf dem Maschinen kommt. Zeigt aber mal wieder, wie die Hersteller durch Bloatware die Maschinen unsicher machen.
Ähnliche Artikel:
Lenovo Geräte mit Superfish-Adware verseucht
Avast nutzt auch den 'Superfish-Ansatz' bei Mail Shield
Lenovo Service Engine (LSE) – Superfish reloaded II
Anzeige
Morgen………..
warum nicht gleich ganz löschen, was spricht dagegen???
Möglicherweise nutzen Leute ja den Dell-Kram. Dann gibt es Fehler.
Alles klar, wer weis was da noch kommt???
Dell hat bereits reagiert und für betroffene Rechner ein Uninstall-Tool veröffentlicht. Siehe:
www. chip. de/downloads/eDell-Certificate-Uninstaller_85930524.html
Anmerkung: G.Born
Chip ist dafür berüchtigt, Downloads mit Bloatware (irgend ein unnötiger Downloader wird dazu gemangelt) anzureichern – daher stehen die hier auf dem Index. Ich habe daher den obigen Link deaktiviert. Statt der Chip-Adresse sollte man diese Dell-Download-Adresse verwenden:
https://dellupdater.dell.com/Downloads/APP009/eDellRootCertFix.exe
Update: Für die Leute, die fragen, was ich nun schon wieder habe – ich habe mal was zu PUPs im Artikel Digitales Schlangenöl: Registry-Cleaner, Driver-Updater & PUPs geschrieben und diesen Artikel Von der Odyssee, ein kostenloses Programm zu installieren… meines MVP-Kollegen Ingo Böttcher verlinkt. Ingo geht auf mein Bauchweh bzgl. Chip Downloads ein – besser hätte ich es nicht beschreiben können.
Na denn weg damit.
Ja bei "Chip" sollte man vorsichtig sein die wollen den Leuten immer irgend was aufdrängen!!!
Also Vorsicht!!!
Ok, ein direkter Link zu Dell ist natürlich besser. Ich persönlich habe aber noch keine schlechte Erfahrungen mit Downloads bei chip.de gemacht. Kann ja aber noch kommen…. ;-)
P.S. Ich habe mir die Sache bei chip.de noch einmal angeschaut, weil ich den Hinweis von Günter nicht ganz nachvollziehen konnte.
Ergebnis:
1. Ich habe bislang keine schlechten Erfahrungen mit chip.de gemacht, weil ich die Website in der Regel mit einer Firefox-Version ansurfe, in der NoScript aktiviert ist. Wenn man hier einen Download bei chip.de startet, bekommt man immer den Originalinstaller. Der Download startet dann auch nicht automatisch. War jetzt beim Dell-Uninstall-Tool auch so (sha256: 211ecb60bdd1ee3dc8a870d04dd7851b7a8f1a2c5bcbb6b9bb4a739dc95d667f).
2. Anschließend habe ich bei chip.de den gleichen Download mit Firefox ohne aktiviertem NoScript angefordert. Hier startet der Download automatisch und man bekommt tatsächlich eine sehr eigenartigen Chip-Installer auf den Rechner. Diesen Installer sollte man besser nicht ausführen. Ich habe den Chip-Installer bei virustotal.com prüfen lassen: Der Installer hat die Prüfung nicht bestanden. Siehe:
https://www.virustotal.com/de/file/492d0f37a24271466d79676429059c114e95bf58953c00ded0f07c50def02467/analysis/1448397368/
Günter, du hast recht. Entferne bitte den Chip-Link!
ja, so einen ähnlichen Security -Gau habe ich erst vor Kurzem am eigenen Leibe erfahren. Es gibt in den Warenhäusern so kleine Bluetooth USB -Stecker zu kaufen, zum Beispiel von Speedlink.de
Nachdem ich die Software installiert hatte, bemerkte ich erstmals nichts vom Sicherheitsleck. Aber vor Kurzem habe ich bemerkt dass die Bluetooth Software mir ungefragt zwei unsichere Root -Zertifikate installiert hat. Sie tragen Namen wie Harmony (Test).
Die Zertifikate sind hier beschrieben:
https://vimeo.com/142938770
Zum Glück bin ich einigermassen versiert in solchen Dingen, aber ich bin sicher das inzwischen tausende Anwender mit den unsicheren CSR- Testzertifikaten im Internet surfen, ohne auch nur die leiseste Ahnung zu haben wie gefährlich so ein Zertifikat werden kann.
Am Besten ist es wenn man regelmässig den certmgr.exe startet und nachsieht welche Zertifikate dort alles installiert sind. Ich habe natürlich die Harmony(Test) Zertifikate sofort beide gelöscht, meine Bluetooth Tastatur, die ich drahtlos anschliessen will, funktioniert trotzdem ohne Zertifikate weiter.
Kleiner Nachtrag – noch ein Fund Nächstes Dell Root-Zertifikat reißt Sicherheitslücke auf …