Dell entschuldigt sich für Root-Sicherheitsleck auf Rechnern

Martin Schindler,
Dell (Bild: Dell)

Es stellt ein erhebliches Sicherheitsrisiko dar. Dell verspricht, dieses Zertifikat abzustellen, liefert es jedoch über eine Download-Seite nach wie vor aus.

Dell liefert Rechner mit einem selbst signierten Root-Zertifikat aus. Das bestätigt der Hersteller jetzt. Dieses Zertifikat stellt jedoch laut Angaben des Unternehmens, das damit Berichte mehrerer Blogger bestätigt, ein “unbeabsichtigtes Sicherheitsleck” dar. Allerdings seien Großkunden, die eigene System-Images einspielten, nicht von dem Problem betroffen. Dell habe außerdem weder Adware noch Malware vorinstalliert. Inzwischen liefert Dell auch ein Removal-Tool für dieses Zertifikat. Eine detaillierte Anleitung für das Deinstallieren der Software liefert Dell hier.

Über dieses Root-Zertifikat könnte Dell beispielsweise HTTPS verschlüsselten Traffic entschlüsseln. Zu diesem Zweck hatte Lenovo bis Anfang des Jahres einige seiner Produkte mit einem solchen Zertifikat ausgestattet, allerdings im Zusammenspiel mit einer Adware namens Superfish Visual Discovery, die Inserate in Websites einschmuggelte.

“Sicherheit und Privatsphäre unserer Kunden hat bei Dell Priorität”, sagte eine Sprecherin des Computerherstellers. “Wir entfernen das Zertifikat ab sofort von allen Dell Systemen.”

Auf einer Web-Seite von LastPass können Anwender überprüfen, ob sie von der Adware betroffen sind. (Screenshot: Cnet.de)
Auf einer Web-Seite von LastPass konnten Anwender überprüfen, ob sie von der Adware betroffen sind. Jetzt ist auch Dell in der Kritik ein vergleichbares Sicherheitsleck auszuliefern. (Screenshot: CNET.de)

Laut dem Blogger Hanno Böck soll Dell das Root-Zertifikat mit dem Namen “eDellRoot” dem Certificate Store seiner Systeme hinzugefügt haben. Es werde durch die Software Dell Foundation Services installiert, die Dell weiterhin zum Download anbiete. Dells Beschreibung zufolge liefert die Software Funktionen für den Kundensupport.

“Jeder Angreifer kann das Root-Zertifikat benutzen, um gültige Zertifikate für beliebige Websites zu erstellen”, erläutert Böck. “Selbst HTTP Public Key Pinning (HPKP) schützt nicht vor solchen Angriffen, weil Browseranbieter lokal installierte Zertifikate erlauben, um den Key-Pinning-Schutz zu überschreiben. Das ist ein Kompromiss bei der Implementierung, der den Betrieb sogenannter TLS-Abfang-Proxies erlaubt.”

Ähnlich kritisch äußerte sich der Citrix-Mitarbeiter Joe Nord in seinem Blog. Das eDellRoot-Zertifikat sei bis 2039 gültig und für “alle Zwecke” zugelassen. Es sei damit “mächtiger” als ein ebenfalls installiertes legitimes Root-Zertifikat von DigiCert. Zudem befinde sich auf den Dell-Rechnern auch noch ein “privater Schlüssel, der zu dem Zertifikat gehört”. “Der Computer eines Endnutzers sollte niemals einen privaten Schlüssel haben, der zu einem Root-Zertifikat passt. Nur der Computer, der das Zertifikat ausgestellt hat, sollte einen privaten Schlüssel haben – und sehr gut geschützt sein.”

Zusammen mit dem Nutzer Kevin Hicks konnte Nord zudem bestätigen, dass Dell für jeden mit dem Root-Zertifikat ausgestatteten Computer denselben privaten Schlüssel vergeben hat, der sich Hicks zufolge mit öffentlich verfügbaren Tools auslesen lässt. “Jeder, der den privaten Schlüssel auf meinem Computer kennt, kann Zertifikate für jede Website und für jeden Zweck ausstellen und der Computer wird automatisch und fälschlicherweise annehmen, dass das ausgestellte Zertifikat gültig ist”, so Nord weiter.

[mit Material von Stefan Beiersmann, ZDNet.de]