Noch eine Sicherheitsmeldung zum Thema CA-Zertifikate aus obskuren Quellen. Nachdem Dell durch Verteilung eines Root CA-Zertifikats aufgefallen ist, wurde jetzt auch Lenovo mit solchen Zertifikaten erwischt.
Anzeige
Bei Lenovo sind die auf Rechnern vorinstallierten CA-Zertifikate wohl über die Bluetooth-Treiber der Firma CSR ins System gekommen. Wie heise.de hier schreibt, sind aber keine privaten Schlüssel bekannt, so dass Dritte keine eigenen Zertifikate ausstellen können, um das System zu kompromittieren.
Das Problem wurde bereits im Oktober in diesem Android-Forum angesprochen. Dort ist auch angegeben, dass nur 1024bit RSA-Schlüssel zur Zertifikatabsicherung verwendet wurde, wodurch dieser knackbar erscheint. Laut golem.de wird der Treiber mit dem fraglichen Zertifikat bei Lenovo für den CSR-Harmony-Chip zum Download angeboten. Ich würde sagen, das ganze Zertifikate-System ist ziemlich kaputt.
Ähnliche Artikel:
Sicherheits-GAU: Dell-Zertifkat bringt massive Sicherheitslücke
Nächstes Dell Root-Zertifikat reißt Sicherheitslücke auf …
Microsofts Sicherheitssoftware entfernt Dell Root-Zertifikate
Microsoft Security-Advisory 3119884 zu Dell-Zertifikaten
Sicherheitslücke in Dell Foundation Service ermöglicht Nutzertracking
Sicherheitslücken bei Dell, Lenovo, Toshiba durch PUPs…
Anzeige